キングソフト株式会社は9月6日、同社のオフィス統合環境「WPS Office」シリーズのWindows版にパストラバーサルの脆弱性が存在することを発表した。

セキュリティ企業ESET社のセキュリティニュースサイト「WeLiveSecurity」によると既に悪用が確認されているとの事。 

「WPS Office」シリーズに存在する脆弱性はCVE-2024-7262とCVE-2024-7263の2件。
ファイルに埋め込まれたリンクをクリックすると、任意のコードを実行される恐れがある。

【影響する製品とバージョン】
・「WPS Office2」v11.2.0.10693およびそれ以前
・「WPS Cloud」v11.2.0.10693およびそれ以前
・「WPS Cloud Pro」v11.2.0.10693およびそれ以前
・「KINGSOFT PDF Pro」v11.2.0.10696およびそれ以前

いずれのソフトも最新版のv11.2.0.10701へアップデートすることで、脆弱性を修正可能。

最近はゼロデイ攻撃が多いですね。

KINGSOFTに限らず、どのメーカーのソフトも常に最新版への更新が必要。
但し、ゼロデイなので最新版だからと安心はできないので常に情報収集は必要と言う事です。

※関連情報
キングソフトの「WPS Office」シリーズにゼロデイ脆弱性 ～修正版が公開

[拡大画像]

MSIから早速、AGESA ComboAm4v2PI 1.2.0.Cc（ベータ版）がリリースされた。

少なくともMSI B550 UNIFY、B550M MORTAR、B450M MORTAR MAXで「AGESA ComboAm4v2PI 1.2.0.Cc（ベータ版）」のリリースを確認。

概要としては以下の2つ。
・AGESA ComboAm4v2PI 1.2.0.Cc update.
・Added security issue of SMM Lock Bypass uCode fix aka “Sinkclose”.

reddit MSI Gaming Anyone getting AGESA ComboAM4v2PI 1.2.0.cb update
https://www.reddit.com/r/MSI_Gaming/comments/1eph59f/anyone_getting_agesa_comboam4v2pi_120cb_update/


どうやらMSIは「AGESA ComboAM4v2PI 1.2.0.Cb」の内容も含めた、AGESA ComboAm4v2PI 1.2.0.Ccをリリースするようだ。

確かに一度にリリースしてくれた方が助かるし、メーカーも一度のリリースで完結させたいだろう。

ざっくり書くと「AGESA ComboAM4v2PI 1.2.0.Cb」を適用する事でデスクトップ用Ryzen 4000シリーズとRyzen 5000シリーズの脆弱性対策が完了する。

そして「AGESA ComboAm4v2PI 1.2.0.Cc」には上記の「AGESA ComboAM4v2PI 1.2.0.Cb」に加え、デスクトップ用Ryzen 3000シリーズの脆弱性対策が追加される。

恐らく、今月末くらいには正式リリースされると予測されるので、正式リリースを待って適用したいと思う。

ベータ版の適用はあくまでも自己責任でお願いします。

※関連情報
AMD製CPUで深刻な脆弱性、修正パッチを一斉配布開始

「AGESA ComboAm4v2PI 1.2.0.C」正式リリース