画像:ARMベースのSurface Pro Xは、これらのアップデートから最も恩恵を受けるだろう。画像:Dominik Tomaszewski / Foundry
コンピューターセキュリティは終わりのない戦いですが、今週、Microsoftはユーザーに向けて新たな武器を提供します。Windows 10と11の両方に現在展開されている最新のPatch Tuesdayアップデートは、現在悪用されているゼロデイ脆弱性に対処しています。お使いのマシンはすでにアップデートされているかもしれません。そうでない場合は、12月13日のパッチをWindows Update([スタート] > [設定] > [更新とセキュリティ] > [Windows Update ])からできるだけ早く適用してください。
Bleeping Computerによると、このゼロデイ脆弱性は、実行ファイルをダウンロードする際にWindowsの標準セキュリティ警告を回避できるJavaScriptファイルを介して攻撃を許すものでした。これにより、Microsoft Officeの保護されたビューシステムも回避される可能性があります。この攻撃は基本的なフィッシング手法を用いており、ユーザーが特定のファイルを開くか、感染したウェブサイトにアクセスすると、Magniberランサムウェアがインストールされ、リモートからユーザーのファイルが暗号化されます。
様々なセキュリティ研究者が、このベクトルがJavaScriptの脆弱性を介してWeb上にマルウェアをインストールするために利用されていることを観測しており、これは現在も活発な脅威です。攻撃キャンペーンは、銀行やその他の金融機関のメールデータを特に標的とし、その後の攻撃に利用されています。対処済みの問題は、Microsoftのバグ追跡システムで「CVE-2022-44698」として報告されています。また、実環境での脅威として確認されていない別のゼロデイ脆弱性であるCVE-2022-44710にも修正プログラムが提供されています。
著者: Michael Crider、PCWorld スタッフライター
マイケルはテクノロジージャーナリズムのベテランとして10年のキャリアを持ち、AppleからZTEまであらゆるテクノロジーをカバーしています。PCWorldではキーボードマニアとして活躍し、常に新しいキーボードをレビューに使用し、仕事以外では新しいメカニカルキーボードを組み立てたり、デスクトップの「バトルステーション」を拡張したりしています。これまでにAndroid Police、Digital Trends、Wired、Lifehacker、How-To Geekなどで記事を執筆し、CESやMobile World Congressなどのイベントをライブで取材してきました。ペンシルベニア州在住のマイケルは、次のカヤック旅行を心待ちにしています。
