MS Exchangeで4つの ゼロデイ脆弱性 が発見、パッチは未適用のまま

セキュリティブログの「Security Affairs」によると、Microsoft Exchangeで4つの ゼロデイ脆弱性 が発見されたそうです。すべてリモートエクスプロイト可能で、任意コードを実行したり、敏感な情報を漏洩させる等の結果に繋がります。これを発見したのはセキュリティ企業のトレンドマイクロ（Trend Micro）で、9月7~8日のころ、MSに独自通報をし、パッチの公開を確認してから ゼロデイ脆弱性 の存在をお知らせする予定でした。しかし、時間が経ってもMSはパッチを開発しませんでした。それでTrend Microは自社の脆弱性公開政策に基づき、脆弱性を公開しました。MSは、提起された問題が脆弱性だということは認めていますが、フィックスはまだ開発中だそうです。

問題の ゼロデイ脆弱性 にはまだCVE番号が与えられていません。今まではTrend Microが独自的につける番号で分類されていますが、これがCVEに転換されるときどう変わるかについてはまだ不明確です。Trend Microの分類体系によると、脆弱性はZDI-23-15778、ZDI-23-1579、ZDI-23-1580、ZDI-23-1581です。

Trend Microの関係者は「この度に公開された脆弱性はすべてリモートエクスプロイトが可能であり、非常に危険だと認知されます。また、攻撃者は任意コードを実行したり、情報を奪取することもできます。MSの至急なパッチ配布が求められます。」と懸念を示しました。