Windowsパソコンに新たなアップデートが必要です。Microsoftは、Windowsの2024年4月のセキュリティ更新プログラムをリリースしました。今回のアップデートが特に重要なのは、149件の欠陥の中にゼロデイ脆弱性が2件含まれているからです。

ゼロデイ脆弱性とは、すでに出回って悪用されているセキュリティ欠陥のことです。

つまり、少なくともどこかの誰かがこの脆弱性のことを知っている上に、他者に対して悪用しているということです。

ゼロデイ脆弱性の詳細

2024年4月のアップデートでは、このゼロデイ脆弱性うち2つが修正されていますが、このパッチをインストールするまで、パソコンは非常に脆弱な状態にあります。

1. ユーザーの行動がバレている

1つ目のゼロデイ脆弱性は「CVE-2024-26234」で、プロキシドライバスプーフィングの脆弱性です。

Microsoftは、この脆弱性についてこれ以上の情報を公開していませんが、サイバーセキュリティ企業の「Sophos」は、Windowsハードウェア互換性のパブリッシャーがサインした、悪意ある実行ファイル(Catalog.exe)を特定したと言っています。

この実行ファイルは、「LaiXi Android Screen Mirroring」を発行しているメディア「Hainan YouHu Technology Co. Ltd」に紐付いており、大規模なSNSマーケティング活動のために、スマホのバッチをコントロールするのに使用されています。

2. ユーザーにファイルをクリックさせる

2つ目のゼロデイ脆弱性は「CVE-2024-26180」で、SmartScreenのセキュアブートのセキュリティ機能のバイパスの脆弱性です。これによって、悪意あるハッカーは、Microsoft Defender Smartscreenのシステムを回避することができます。

メールや他のメッセージプラットフォームを通じて、悪意あるファイルを送信でき、システムのUIを迂回するランチャーを使って、その悪意あるファイルを開くようにユーザーをだまそうとします。

2024年4月のパッチをパソコンにインストールする方法

どちらのゼロデイ脆弱性も、すぐにパッチをインストールしてください。そのほかにも多くの脆弱性を修正しているので、アップデートが重要なのです。

このパッチをパソコンにインストールするには、「スタート > 設定 > Windows Update」(Windows 11)、または「スタート > 設定 > 更新とセキュリティ > Windows Update」(Windows 10)に行き、「利用可能な更新プログラム」をクリックします。

更新プログラムが表示されたら、それをインストールしましょう。

MicrosoftのAI「Copilot」がAndroidのデフォルトアシスタントにできるようになった!がまだ課題あり | ライフハッカー・ジャパン https://www.lifehacker.jp/article/2403-you-can-replace-google-assistant-with-microsofts-copilot-ai/

Microsoft Edgeの新機能で「画像の拡大」が数クリックでできる! | ライフハッカー・ジャパン https://www.lifehacker.jp/article/2404-magnify-image-feature-in-microsoft-edge/

Source: Microsoft, The Hacker News