米マイクロソフト(MS)のクラウドサービス「アジュール」で提供されている旗艦データベース「コスモスDB」で重大な脆弱性が見つかったことを巡り、この問題を発見した研究者らが28日、全ての利用者に対して管理キーを再設定するよう促した。写真は同社のロゴ。ニューヨークで1月撮影(2021年 ロイター/Carlo Allegr
[28日 ロイター] - 米マイクロソフト(MS)のクラウドサービス「アジュール」で提供されている旗艦データベース「コスモスDB」で重大な脆弱性が見つかったことを巡り、この問題を発見した研究者らが28日、全ての利用者に対して管理キーを再設定するよう促した。
セキュリティー会社ウィズの研究チームは今月、ほとんどのコスモスDBの利用者が使うキーにアクセスができると発見し、保存記録の書き換えや消去、盗難などのリスクがあると警告。これを受けMSが迅速な修復に乗り出し、26日には3300の利用者にキーの変更をしてほしいと通知していた。
一方でMSは27日、顧客データが不正にアクセスされた形跡はないとしながらも、当初の管理キーの設定をやり直すことを推奨した。
米国土安全保障省のサイバーセキュリティー・インフラストラクチャーセキュリティー庁(CISA)が改めてキーの再設定を強く求め、ウィズの専門家も同意。同社のアミ・ルトワク最高技術責任者は「私の見方では、この欠陥を以前に誰かが悪用したことを完全に否定するのは難しい」と述べた。
○Windows 10 v21H1、v20H2、v2004、v1909
Windows 10 v21H1、Windows 10 v20H2、Windows 10 v2004:KB5005033
Windows 10 v1909:KB5005031
Windows 10 バージョン2004、v20H2、v21H1の更新プログラムであるKB5005033(累積更新プログラ)の構成内容であるが、
ポイントと印刷を使用するときにドライバーをインストールする管理者である必要がある場合に、既定のインストール権限の要件を更新するとなっている。
○Windows Server 2019、Windows Server 2016、Server Coreインストール(2019、2016、v20H2、v2004)
緊急(リモートでコードが実行される)
Windows Server Version 20H2、Windows Server Version 2004:KB5005033
Windows Server 2019:KB5005030
Windows Server 2016:KB5005043
○Windows 8.1、Windows Server 2012 R2、およびWindows Server 2012
緊急(リモートでコードが実行される)
Windows 8.1およびWindows Server 2012 R2マンスリーロールアップ:KB5005076
Windows 8.1およびWindows Server 2012 R2セキュリティのみ:KB5005106
Windows Server 2012マンスリーロールアップ:KB5005099
Windows Server 2012セキュリティのみ:KB5005094
○Internet Explorer
緊急(リモートでコードが実行される)
Internet Explorer用の累積的なセキュリティ更新プログラム:KB5005036
○Microsoft Office関連のソフトウェア
重要(リモートでコードが実行される)
Office関連ソフトウェアのセキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドを参照。
○Microsoft SharePoint関連のソフトウェア
重要(なりすまし)
KB4011600、KB5002000、KB5002002
○Microsoft Visual Studio関連のソフトウェア
重要(情報漏えい)
Visual Studio関連ソフトウェアのセキュリティ更新プログラムの詳細については、こちらのドキュメントとセキュリティ更新プログラムガイドを参照。
○Microsoft Dynamics関連のソフトウェア
重要(リモートでコードが実行される)
Dynamics関連ソフトウェアのセキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドを参照。
○Microsoft .NET関連のソフトウェア
重要(情報漏えい)
.NET 関連ソフトウェアのセキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドを参照。
○Microsoft Azure関連のソフトウェア
重要(特権の昇格)
Azure関連ソフトウェアのセキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドを参照。
○Microsoft Malware Protection Engine
重要(特権の昇格)
Microsoft Malware Protection Engineのセキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドを参照。
脆弱性とは満足に理解できない素人は、特に横流しや、なりすましに有っても、重大な影響はあまり受けないと思うが、技術的な影響は重大になってくるだろう。しかしWindows 10について余りにも問題点が多すぎるようだ、また本人で、できる