Microsoft、2024年11月の月例更新 - 89件の脆弱性への対応が行われる

マイクロソフトでは、セキュリティ更新プログラム、セキュリティアドバイザリに関する注意点として、以下をあげる。

今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用が行われていることや脆弱性の詳細が一般へ公開されていることを確認している。ユーザーにおいては、更新プログラムの適用を早急に行ってほしい。脆弱性の詳細は、各CVEのページを参照してほしい。

CVE-2024-49040 Microsoft Exchange Serverのなりすましの脆弱性

CVE-2024-49019 Active Directory証明書サービスの特権の昇格の脆弱性

CVE-2024-43451 NTLMハッシュ開示スプーフィングの脆弱性

CVE-2024-49039 Windowsタスクスケジューラの特権の昇格の脆弱性

今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は、CVSS 基本値が9.8以上と高いスコアである。これらの脆弱性が存在する製品、および悪用が可能となる条件については、各CVEのページの「よく寄せられる質問」 を参照してほしい。セキュリティ更新プログラムが公開されるよりも前に、脆弱性の情報の一般への公開、脆弱性の悪用はないが、脆弱性の特性を鑑み、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨している。

CVE-2024-43602 Azure CycleCloudのリモートでコードが実行される脆弱性

CVE-2024-43498 .NETとVisual Studioのリモート コードが実行される脆弱性

CVE-2024-43639 Windows Kerberosのリモートでコードが実行される脆弱性

Microsoft Exchangeの更新プログラムを展開する際のガイダンスは、Microsoft ExchangeチームブログReleased: November 2024 Exchange Server Security Updatesも併せて参照してほしい。
2024年11月12日（米国時間）にリリースしたExchange Server向け更新プログラムは、インストールに加え、追加の手順を実施する必要がある。詳細については、Exchange Server non-RFC compliant P2 FROM header detectionを参照してほしい。
セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してほしい。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2024年11月セキュリティ更新プログラムリリースノートに掲載されている。