Appleがオープンソースの画像生成AIモデル「MDM」をGitHubで公開／Windowsに深刻な脆弱性 ゼロクリック攻撃で：週末の「気になるニュース」一気読み！（2/3 ページ）

[山本竜也，ITmedia]

8月度Windowsセキュリティ更新プログラム配信開始

　米Microsoftは8月13日（現地時間）、現在サポートしているWindows 11およびWindows 10の全バージョンに対し、8月度の月例セキュリティ更新プログラムの配信を開始した。

Microsoftが、Windows 10／11向けに8月度の月例更新プログラムの配信を開始した

　更新プログラムのバージョンについて、Windows 11（23H2／22H2）は「KB5041585」、Windows 11（21H2）向けは「KB5041592 」、Windows 10（22H2／21H2）は「KB5041580」、Windows 10（1809）は「KB5041578」となる。

　本更新プログラムでは、CVE番号ベースで90件の脆弱性に対応した。このうち、深刻度を「Critical（緊急）」と評価しているのは以下の9件だ。

• CVE-2024-38166：Microsoft Dynamics 365 のクロスサイトスクリプトの脆弱性
• CVE-2024-38206：Microsoft Copilot Studioの情報漏えいの脆弱性
• CVE-2024-38159：Windows ネットワーク仮想化のリモートでコードが実行される脆弱性
• CVE-2024-38160：Windows ネットワーク仮想化のリモートでコードが実行される脆弱性
• CVE-2023-40547：Redhat: CVE-2023-40547 Shim: RCE in HTTP boot support may lead to secure boot bypass
• CVE-2024-38063：Windows TCP/IP のリモートでコードが実行される脆弱性
• CVE-2024-38140：Windows Reliable Multicast Transport Driver（RMCAST）のリモートでコードが実行される脆弱性
• CVE-2022-3775：Redhat: CVE-2022-3775 grub2: Heap based out-of-bounds write when rendering certain Unicode
• CVE-2024-38109：Azure Health Botの特権昇格の脆弱性

　以下の6件は深刻度こそ「重要」「警告」となっているが、悪用の事実が確認されている。カッコ内は深刻度だ。

• CVE-2024-38106（重要）：Windows カーネルの特権の昇格の脆弱性
• CVE-2024-38107（重要）：Windows Power Dependency Coordinator の特権昇格の脆弱性
• CVE-2024-38178（重要）：スクリプト エンジンのメモリ破損の脆弱性
• CVE-2024-38189（重要）：Microsoft Project のリモートでコードが実行される脆弱性
• CVE-2024-38193（重要）：WinSock 用 Windows Ancillary Function Driver の特権の昇格の脆弱性
• CVE-2024-38213（警告）：Windows Mark Of The Web セキュリティ機能のバイパスの脆弱性

　特にCVE-2024-38063は、ユーザーの操作にかかわらずリモート攻撃される可能性がある。既に攻撃手法が知られている脆弱性も含まれており、できるだけ早めのアップデートを心掛けたい。

AMDのRyzenやEpicでファームウェアが改ざんされる脆弱性

　米AMDは8月9日（現地時間）、Ryzenやサーバ向けのEpicプロセッサに、OSからはアクセスできない最高の特権レベルで実行するSMM（System Management Mode）に攻撃者がアクセスできてしまう脆弱性があることを明らかにした。

AMDのRyzen／Epicプロセッサに、SMMにアクセス可能な脆弱性が発見された

　Sinkclose（CVE-2023-31315） と呼ばれるこの脆弱性は、セキュリティベンダーのIOActiveに所属する研究者が発見したもので、AMDチップが古いデバイスとの互換性を保つために有しているTClose機能を悪用するものだ。

　AMDベースのマシンでは、TSegと呼ばれる安全策により、OSがシステム管理モード用に予約されているメモリの保護された部分（System Management Random Access Memory：SMRAM）に書き込むのを防止する。

　ただし、TClose機能は、SMRAMと同じメモリアドレスを使用する古いデバイスとコンピュータの互換性を維持できるように設計されており、有効にすると他のメモリをそれらのSMRAMアドレスに再マッピングする。この再マッピング機能に欠陥があり、悪用することでSMMにアクセスできてしまうという。

　IOActiveの研究者は米WIREDの取材に対し、「Sinkclose経由でインストールされたマルウェア感染は、OSの再インストール後でも検出または修復が困難で、ドライブを消去しても残り続ける」としている。

　除去するには、PCのケースを開け、SPIフラッシュプログラマーと呼ばれる専用のツールを利用する必要があり、基本的には感染したPCは捨てなければならないと警告する。

　AMDは「Sinkcloseを利用するには、攻撃者が既にカーネルレベルレベルのアクセス権を持っている必要がある」としているが、そのようなアクセス権を入手できる脆弱性は、毎月のように公開されていると研究者は反論している。

　AMDでは、OEMのUEFI（BIOS）アップデートを通じ、 Platform Initialization（PI）の更新で対応する。対象となるのはサーバ向けの第1／2／3／4世代のEPICプロセッサや組み込み向けのプロセッサ、デスクトップ向けとモバイル向けのRyzen 3000シリーズ以降など。