2024年11月セキュリティアップデートレビュー
AdobeとMicrosoftは、2024年11月の定期的な更新をリリースしました。Adobeは、Adobe Bridge、Audition、After Effects、Photoshopなど、様々な製品の48 CVEに対応する8つのパッチをリリースしました。最大の修正は、Substance 3D Painterに対する22のCriticalとImportant CVEです。この月のAdobeの修正のいずれも、リリース時点で公的に知られており、活動的な攻撃の対象ではありませんでした。Microsoftは、Windows、Windows Components、Office、Office Components、Azure、他の製品に対し、新たに89つのCVEをリリースしました。パッチのうち4つがCritical、84つがImportant、1つがModerateの深刻さです。Microsoftは、3つのCVEが公的に知られていると述べていますが、実際には5つのCVEが公的に知られていると報告されています。2つのCVEがリリース時点で野生で悪用されていると述べられています。野生で悪用されているCVEには、NTLM Hash Disclosure Spoofing VulnerabilityとWindows Task Scheduler Elevation of Privilege Vulnerabilityが含まれます。他の顕著なCVEには、Windows Kerberos Remote Code Execution Vulnerabilityがあり、リモートの、認証されていない攻撃者が影響を受けるシステムでコードを実行することができます。また、.NETとVisual Studio Remote Code Execution Vulnerabilityがあり、攻撃者が特別に作成されたリクエストを影響を受ける.NET webappに送信することでコードを実行することができます。Microsoftは、Azure、SQL Server、Visual Studioなど、他の製品に対してもパッチをリリースしました。今年までに、Microsoftは合計949つのCVEに対応し、2024年がこれまでで2番目の大きな修正年となったとみられます。ユーザーは、潜在的な攻撃から保護するために、更新をテストし、できるだけ早く展開することをお勧めします。