MSの Patch Tuesday 、仮想環境の脆弱性に注意を促す

セキュリティメディア「SecurityWeek」によると、MSとAdobe、SAP等が「 Patch Tuesday 」を進んだそうです。MSの場合、今月60個以上の脆弱性を扱ったらしいですが、緊急にパッチを行うべきな超高危険度の脆弱性として幾つかを言及しました。一番先に注目すべきなのはCVE-2024-21407とCVE-2024-21408で、全てHyperVから発見されました。認証済みの攻撃者がこの脆弱性のエクスプロイトに成功する場合、ホストサーバーにリモートコード実行攻撃をMSは警告しました。OMIで発見されたCVE-2024-21334も危ないです。（CVSSスコア9.8点）今月の脆弱性やもう攻撃に活用されているのはないと判断されます。

MSは独自の脆弱性評価基準を持っており、CVSSスコアと関係なく脆弱性の危険度レベルを定めます。HyperVで発見された脆弱性の場合、MS基準で最も高い危険レベルであると評価されました。CVSSの基準では「高危険」でした。MSはCVSSより「実際のエクスプロイト可能性」に点数を付与しています。

MS側は「HyperVは仮想環境に関する機能であるため、緊急の脆弱性パッチが必要です。仮想環境のホストへまで侵入できるようになると莫大な被害をもたらすことができる殻です。」と言いました。