2024年2月のセキュリティ更新レビュー

Adobeは2月に6つのセキュリティ更新をリリースし、Acrobat、Commerce、Substance 3Dなどの製品の脆弱性を解決しました。 最もクリティカルな更新はAcrobatとReader向けで、フィッシング攻撃でしばしば悪用されるコード実行バグを複数修正しました。 その一方、MicrosoftはWindows、Office、Azure、その他の製品の脆弱性に対する72のパッチをリリースしました。 そのうち2つのMicrosoftの脆弱性は、リリース時点で一般的に知られていなかったが、既に悪用されていました。 ひとつの顕著な脆弱性（CVE-2024-21412）は、インターネットショートカットファイルに関するもので、ZDI Threat Huntingチームが発見し、為替トレーダーに対する攻撃で悪用されていました。 もうひとつの悪用された脆弱性（CVE-2024-21351）は、Windows SmartScreenをバイパスし、検出されずにコードを実行することを許可します。 Microsoft Exchange Serverのユーザーは、CVE-2024-21410のパッチを優先的に適用する必要があります。この脆弱性は、攻撃者がユーザーを偽装することができる権限昇格の脆弱性です。 似たように、CVE-2024-21413はMicrosoft Outlookで、セキュリティ機能をバイパスし、コードを実行する可能性があり、直ちに注意が必要です。 全体的に、AdobeとMicrosoftの2月のパッチは、多くの脆弱性を解決し、うちいくつかは既に悪用されていました。このため、速やかにパッチを適用することが非常に重要です。 今年の同じ時期と比較してパッチの数は減少していますが、将来的にこの傾向が続くかどうかは不明です。 ユーザーは、脆弱性の深刻さと悪用状況に基づいてパッチの適用を優先的に行う必要があります。 すべてのシステムが最新のセキュリティパッチで更新されるようにして、潜在的な脅威を軽減します。