Microsoft Visual Studio 製品のセキュリティ更新プログラム (2024 年 5 月)

critical Nessus プラグイン ID 197296

概要

Microsoft Visual Studio 製品は、複数の脆弱性の影響を受けます。

説明

Microsoft Visual Studio 製品にセキュリティ更新プログラムがありません。そのため、以下を含む複数の脆弱性による影響を受けます:

- シンボリックリンクをサポートする、大文字と小文字を区別しないファイルシステムの再帰的複製は、リモートでコードが実行される影響を受けます。(CVE-2024-32002)

- 特別に細工されたローカルリポジトリのクローンを作成する際の、リモートでのコードの実行。(CVE-2024-32004)

- リモートでコードが実行される脆弱性が.NET 7.0 および.NET 8.0 にあり、スタックバッファオーバーランが .NET 二重解析ルーチンで発生します。(CVE-2024-30045)

- Microsoft.AspNetCore.Server.Kestrel.Core.dll に脆弱性があります。デッドロックが発生し、サービス拒否が発生する可能性があります。(CVE-2024-30046)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Microsoft はこの問題を解決するために、以下のセキュリティ更新プログラムをリリースしています。
- Visual Studio 2017 用の更新プログラム 15.9.62
- Visual Studio 2019 用の更新プログラム 16.11.36
- Visual Studio 2022 用の更新プログラム 17.4.19
- Visual Studio 2022 用の更新プログラム 17.6.15
- Visual Studio 2022 用の更新プログラム 17.8.10
- Visual Studio 2022 用の更新プログラム 17.9.7

参考資料

http://www.nessus.org/u?e226eb87

http://www.nessus.org/u?87c3971a

http://www.nessus.org/u?131d08ea

http://www.nessus.org/u?cb28bccd

http://www.nessus.org/u?55672f84

http://www.nessus.org/u?253c4747

プラグインの詳細

深刻度: Critical

ID: 197296

ファイル名: smb_nt_ms24_may_visual_studio.nasl

バージョン: 1.3

タイプ: local

エージェント: windows

公開日: 2024/5/17

更新日: 2024/6/14

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Critical

スコア: 9.9

CVSS v2

リスクファクター: High

基本値: 7.6

現状値: 6

ベクトル: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2024-32002

CVSS v3

リスクファクター: Critical

基本値: 9

現状値: 8.1

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:microsoft:visual_studio

必要な KB アイテム: SMB/MS_Bulletin_Checks/Possible, SMB/Registry/Enumerated, installed_sw/Microsoft Visual Studio

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2024/5/14

脆弱性公開日: 2024/5/14

参照情報

CVE: CVE-2024-30045, CVE-2024-30046, CVE-2024-32002, CVE-2024-32004

IAVA: 2024-A-0287-S