米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は9月14日(現地時間)、「Microsoft Releases September 2021 Security Updates|CISA」において、Microsoftが2021年9月月例更新プログラムをリリースしたと伝えた。

Microsoftは毎月第2火曜日に同社製品に対するセキュリティアップデートをまとめてリリースしている。今月のリリースでは、CVEベースで少なくとも60件の脆弱性が修正されており、そこにはすでに悪用が確認されているゼロデイ脆弱性が含まれている。

2021年9月のセキュリティアップデートの詳細は次のリリースノートにまとめられている。

2021 年 9 月のセキュリティ更新プログラム – リリース ノート – セキュリティ更新プログラム ガイド – Microsoft

最新のセキュリティアップデートの対象になっている製品は多岐にわたり、Microsoft EdgeやMicrosoft Officeの各種製品、Windows カーネルやWindows Subsystem for Linuxなどの主要製品も多数含まれている。修正された脆弱性については、以下のセキュリティ更新プログラムガイドで調べることができる。

脆弱性 – セキュリティ更新プログラム ガイド – Microsoft

修正された脆弱性のうち、次の2件については修正前に詳細な情報が一般に公開されているゼロデイ脆弱性にあたる。CVE-2021-40444は、すでに攻撃に悪用された可能性が高いと報告されている。

CVE-2021-36958: Windows 印刷スプーラーのリモートでコードが実行される脆弱性

CVE-2021-40444: Microsoft MSHTML のリモートでコードが実行される脆弱性

そのほか、次の脆弱性は深刻度度が最も高い「Critical(緊急)」に分類されており、早急に更新プログラムを適用することが推奨されている。

CVE-2021-38647: Open Management Infrastructure のリモートでコードが実行される脆弱性