マイクロソフトは 5 月のリリースを発表しました 2023 火曜日のパッチ 取り組むべきアップデート 38 セキュリティ上の問題, 1つを含む ゼロデイ 野生で悪用されていると報告されているバグ.
マイクロソフトの5月 2023 火曜日のパッチ
トレンドマイクロのゼロデイイニシアチブによると (ZDI), これは8月以来最も少ない欠陥数です 2021, 彼らは今後数か月間で金額が増加すると示唆したが、. の 38 欠陥, 6 件は重大および重大に分類されています。 32 重症度に関して重要である. Microsoft は、 “悪用の可能性が高まる” 8 つの脆弱性に対する評価. 会社は対処しました 18 欠陥, 含む 11 5月の初めから, 4 月のパッチ火曜日アップデート後の Chromium ベースの Edge ブラウザで.
最も深刻な脆弱性, CVE-2023-29336, は Win32k における権限昇格の欠陥. この欠陥は現在積極的に悪用されています, この問題がどの程度広がっているかは不明だが、.
公表されている 2 つの弱点にも十分な注意を払う必要があります。, そのうちの 1 つは、Windows OLE におけるリモート コード実行の重大な脆弱性です。 (CVE-2023-29325, CVSSスコア: 8.1) 攻撃者が特別に作成した電子メールをターゲットに送信することにより、悪意のある目的に使用される可能性があります。.
予防策として, Microsoft は、この脆弱性を回避するために、ユーザーが電子メール メッセージをプレーン テキスト形式で読むことを推奨しています。. もう 1 つの既知の脆弱性は CVE-2023-24932 です。 (CVSSスコア: 6.7), CVE-2022-21894 の BlackLotus UEFI ブートキットによって悪用されるセキュア ブート セキュリティ機能のバイパス (別名バトンドロップ), 1月に解決しました 2022.
CVE-2023-29336 の詳細
Tenableの研究者が説明したように, Microsoft は 1 月に CVE-2022-21882 にパッチを適用しました 2022, 報告によると、これは CVE-2021-1732 のパッチ バイパスでした, 2 月からの Win32k EoP ゼロデイ脆弱性 2021. それで, 10月中 2021, Microsoft パッチ適用済み CVE-2021-40449, これは、MysterySnail として知られるリモート アクセス トロイの木馬にリンクされており、CVE-2016-3309 のパッチ バイパスであると報告されています。. CVE-2023-29336 は、Microsoft の Win32k の別の EoP 脆弱性です。, Windows で使用されるコアのカーネル側ドライバー.
この脆弱性の CVSSv3 スコアは次のとおりです。 7.8 ゼロデイとして実際に悪用されました. この脆弱性を悪用すると、攻撃者が影響を受けるホスト上で SYSTEM レベルの権限を取得できる可能性があります。. CVE-2023-29336 もパッチ バイパスであるかどうかは不明です, 過去数年間に複数の Win32k EoP ゼロデイが実際に悪用されてきたため.