Microsoft セキュリティ更新の用語解説＠2022.11

2022年11月の Microsoft セキュリティ更新に含まれる CVE に関して、
触れる機会が比較的多いと思われる以下について、ちょこっと解説します。
・Windows Mark Of The Web セキュリティ機能
・Windows スクリプト言語

Windows Mark Of The Web セキュリティ機能

Windows Mark Of The Web（MOTW）ですが、以下の記事にあるように、セキュリティ強化のために、インターネットから入手したOfficeファイルのマクロをブロックしたことを示すマークです。

VBA マクロは、悪意のあるアクターがマルウェアやランサムウェアを
デプロイするためのアクセス権を取得する一般的な方法です。
そのため、Office のセキュリティを向上させるために、
Office アプリケーションの既定の動作を変更して、
インターネットからファイル内のマクロをブロックしています。

https://learn.microsoft.com/ja-jp/deployoffice/security/internet-macros-blocked

2022年11月のセキュリティ更新にて、MOTWの防御をかいくぐる脆弱性（CVE-2022-41091）が見つかり、既に悪用されているわけです。。

Windows スクリプト言語

Windows スクリプト言語ですが、Microsoftが提供するスクリプト言語は多数あります。どれが該当するの？という説明は、CVE-2022-41128 にあります。

この脆弱性は JScript9 スクリプト言語に影響があります。

https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2022-41128

では、JScript9 は何かというと、Chakraというコードネームがついている（カッコいい！！）
Internet Explorer 9から搭載されているJavascriptエンジンです。
Internet Explorer開発終了に伴い、保守のみ行われています。
つまり、この脆弱性は、かたくなに古いIEを使用していると影響します。
IE撲滅賛成派の私としては、「Edgeに切り替えましょう！」とだけ。

Windowsランタイムからも使用するケースもあるけど、、
一般ユーザーは利用しないでしょうし、開発者サイドは、
最新エンジンに切り替えをご検討ください。（言うは易しですが、、）

参考サイト

Security Update Guide - Microsoft Security Response Center

インターネットからのマクロは、Office で既定でブロックされます - Deploy Office

Security Update Guide - Microsoft Security Response Center

Chakra - Wikipedia