2021年3月：Windows10は多くのセキュリティアップデートを受け取ります

火曜日のパッチに先立ち、Microsoftは、ExchangeServerの4つのゼロデイ脆弱性に対処する一連の順不同のセキュリティ更新プログラムをリリースしました。

最近はセキュリティに関するニュースがたくさんあるので、火曜日のパッチは忙しくなるはずです。

Microsoft Security Incident Response Centerは、HafniumハッカーグループによるMicrosoftExchangeサーバーへの既知の攻撃を報告しています。攻撃者は攻撃の中で、識別子CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、およびCVE-2021-27065の4つの脆弱性を悪用しました。これらはすべて、ベースラインCVSS v3スコアが7.8〜9.1のリモートコード実行の脆弱性です。 Microsoftによると、攻撃は活発であり、外部アクセスサーバーはできるだけ早く更新する必要があります。同社はまた、サーバーが危険にさらされているかどうかを判断するのに役立ついくつかのPowerShellスクリプトを用意しています。

これらの脆弱性に対処するためにマイクロソフトが開発した最新のセキュリティ更新プログラムは、Exchange Server 2013（CU23）、Exchange Server 2016（CU18またはCU19）、およびExchange Server 2019（CU7またはCU8）でのみ利用できます。修正プログラムをインストールする前に、最新の累積的な更新プログラムをインストールする必要があります。サーバーを再起動する必要があるため、更新は自動的に適用されます。

さらに、Microsoftは、多層防御に沿ったExchange Server 2010SP3の個別の更新プログラムをリリースしました。特に、Exchange Server 2010はこの特定の攻撃に対して脆弱ではありませんが、Microsoftはこの製品のいくつかの関連する脆弱性を修正することを決定しました。 Exchange Onlineは、これらの脆弱性の影響を受けません。影響を受ける3つのバージョンのExchangeServerすべてについて3月にリリースされる次の累積的な更新プログラムには、必要なセキュリティ更新プログラムが含まれます。

念のため、マイクロソフトは2月に比較的少数の脆弱性にパッチを適用しました。私たちは、Windows 10で50以上の脆弱性を定期的に修正する会社に慣れていますが、2月には28しかありませんでした。レドモンドは、これらの特別な更新ですでに4つのゼロデイ脆弱性を修正しましたが、次に、どのような更新ができるかを見てみましょう。今週期待する：

3月には、Windows 10およびその他のサポートされているWindowsオペレーティングシステム、およびOffice、Microsoft 365、SharePointサーバーで多数の脆弱性の修正が予定されています。 Internet Explorerのアップデートなしで数か月が経過したため、リリースされる可能性が高くなります。マイクロソフトは以前、Windows 10累積更新プログラムにサービススタック更新プログラム（SSU）を含めることを発表しました。

アドビは先月、多くの製品のセキュリティアップデートをリリースしました。今回、同社は事前の発表をしなかったので、大きな更新を期待するべきではありません。

Appleは定期的にmacOSBig Surのセキュリティとパフォーマンスのアップデートをリリースしていますが、先月リリースされると予測されていたiTunesのパッチは見たことがありません。今回はチャンスがさらに高くなります。

Googleは、火曜日のパッチの1週間前にセキュリティアップデートをリリースします。先週、Chrome for Windows、Mac、Linuxがバージョン89.0.4389.72に更新され、47のセキュリティ修正が含まれています。その後、別のバージョン89.0.4389.82がリリースされました。今週は他の更新は予定されていません。

2月23日、Mozillaは、Firefox、Firefox ESR、およびThunderbirdの一連のマイナーなセキュリティアップデートをリリースしました。今週、より大きなセキュリティアップデートが予定されています。

繰り返しになりますが、Microsoft Exchange Server製品を使用している場合は、保護を確実にするために、利用可能なセキュリティ更新プログラムをできるだけ早くインストールする必要があります。