セキュリティ更新 · 1 min read · Nov 29, 2025

マイクロソフト、118の脆弱性と5つのゼロデイを修正するセキュリティ更新を発表

画像

マイクロソフトは火曜日に、118のセキュリティ脆弱性に対処する2024年10月のパッチ火曜日を発表しました。これには、5つの公に開示されたゼロデイが含まれており、そのうちの2つは実際に悪用されています。

118の脆弱性のうち、3つはクリティカル、108は重要、7つは低Severityと評価されています。これらの脆弱性は、Azure CLI、Microsoft Defender for Endpoint、Microsoft Office、Microsoft Edge、Visual Studio、Windows Storage、Windows Remote Desktop、DeepSpeed、さまざまなWindows 10、11、およびWindows Serverコンポーネントを含む異なるプラットフォームで発生しました。

「クリティカル」とマークされた3つの脆弱性はすべてリモートコード実行(RCE)フローであり、悪用されると攻撃者がデバイス上で任意のコードを実行できる可能性があります。

  • CVE-2024-43582: Windows Remote Desktopに影響します。「この脆弱性を悪用するには、認証されていない攻撃者がRPCホストに対して不正なパケットを送信する必要があります。これにより、RPCサービスと同じ権限でサーバー側でリモートコード実行が発生する可能性があります」とマイクロソフトは述べています。ただし、この脆弱性を成功裏に悪用するには、攻撃者がレース条件に勝つ必要があります。

  • CVE-2024-43488: この脆弱性はArduino用のVisual Studio Code拡張に影響します。マイクロソフトのアドバイザリーによると、マイクロソフトはこの脆弱性を完全に軽減しており、このサービスのユーザーは何も行動を取る必要がありません。

  • CVE-2024-43468: Microsoft Configuration Managerに影響します。マイクロソフトによると、「認証されていない攻撃者は、ターゲット環境に対して特別に作成されたリクエストを送信することでこの脆弱性を悪用でき、これにより攻撃者はサーバーおよび/または基盤となるデータベースでコマンドを実行できるようになります。」

さらに、マイクロソフトが2024年10月のパッチ火曜日の更新で対処した、実際に悪用されている2つのゼロデイ脆弱性は次のとおりです。

  • CVE-2024-43573 – Windows MSHTMLプラットフォームのスプーフィング脆弱性

このスプーフィング脆弱性は、Windowsアプリによって使用されるブラウザレンダリングエンジンであるWindows MSHTMLに影響します。これには、Internet ExplorerやMicrosoft Office製品が含まれ、Webコンテンツをレンダリングします。

「マイクロソフトは、特定のプラットフォームでInternet Explorer 11アプリケーションの引退を発表し、Microsoft Edge Legacyアプリケーションは非推奨ですが、基盤となるMSHTML、EdgeHTML、およびスクリプティングプラットフォームは引き続きサポートされています。MSHTMLプラットフォームは、Microsoft EdgeのInternet Explorerモードや、WebBrowserコントロールを介して他のアプリケーションで使用されます」とマイクロソフトはアドバイザリーで説明しています。

「EdgeHTMLプラットフォームはWebViewや一部のUWPアプリケーションで使用されます。スクリプティングプラットフォームはMSHTMLおよびEdgeHTMLによって使用されますが、他のレガシーアプリケーションでも使用される可能性があります。MSHTMLプラットフォームおよびスクリプティングエンジンの脆弱性に対処するための更新はIE累積更新に含まれています。EdgeHTMLおよびChakraの変更はこれらのプラットフォームには適用されません。」

  • CVE-2024-43572 – Microsoft Management Consoleリモートコード実行脆弱性

この脆弱性を悪用すると、悪意のあるMicrosoft Saved Console(MSC)ファイルがターゲットデバイスでRCEを実行できます。この脆弱性に関連するリスクから顧客を保護するために、マイクロソフトは信頼されていないMSCファイルが開かれないようにすることでこれを軽減しました。

さらに、マイクロソフトは「重要」と考えるが、実際には悪用されていない3つの他のゼロデイ脆弱性を開示しています。

  • CVE-2024-6197: このRCEフローはWindows cURL実装に影響し、クライアントが悪意のあるサーバーに接続する必要があります。ただし、この脆弱性が悪用される可能性は非常に低く、ユーザーがサーバーを選択して通信する必要があります。

  • CVE-2024-43583: これはWinlogon特権昇格脆弱性であり、成功裏に悪用されると攻撃者がSYSTEM権限を取得できる可能性があります。

  • CVE-2024-20659: このHyper-Vセキュリティ機能バイパス脆弱性は、Unified Extensible Firmware Interface(UEFI)ホストマシン内の仮想マシンに関連しています。成功裏に悪用されると、攻撃者はUEFIホストマシンをバイパスし、その内部の仮想マシンを危険にさらすことができます。

2024年10月のパッチ火曜日のセキュリティ更新をインストールするには、設定 > 更新とセキュリティ > Windows Updateに移動し、次に更新プログラムの確認ボタンをクリックします。

2024年10月のパッチ火曜日のセキュリティ更新でマイクロソフトが対処した脆弱性の包括的なリストはこちらで確認できます。

Share: X/Twitter LinkedIn
#セキュリティ更新

新しい投稿を受信箱で受け取る

スパムはありません。いつでも購読を解除できます。