米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は8月9日(米国時間)、「Microsoft Releases August 2022 Security Updates|CISA」において、Windowsなど複数のMicrosoft製品に複数の脆弱性が存在すると伝えた。

これら脆弱性を悪用されると、遠隔から攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされている。脆弱性に関する情報は次のページにまとまっている。

August 2022 Security Updates - Release Notes - Security Update Guide - Microsoft

Security Update Guide - Microsoft

Security Update Guide - Microsoft

脆弱性が存在するとされるプロダクトは次のとおり。

.NET Core

Active Directory Domain Services

Azure Batch Node Agent

Azure Real Time Operating System

Azure Site Recovery

Azure Sphere

Microsoft ATA Port Driver

Microsoft Bluetooth Driver

Microsoft Edge (Chromium-based)

Microsoft Exchange Server

Microsoft Office

Microsoft Office Excel

Microsoft Office Outlook

Microsoft Windows Support Diagnostic Tool (MSDT)

Remote Access Service Point-to-Point Tunneling Protocol

Role: Windows Fax Service

Role: Windows Hyper-V

System Center Operations Manager

Visual Studio

Windows Bluetooth Service

Windows Canonical Display Driver

Windows Cloud Files Mini Filter Driver

Windows Defender Credential Guard

Windows Digital Media

Windows Error Reporting

Windows Hello

Windows Internet Information Services

Windows Kerberos

Windows Kernel

Windows Local Security Authority (LSA)

Windows Network File System

Windows Partition Management Driver

Windows Point-to-Point Tunneling Protocol

Windows Print Spooler Components

Windows Secure Boot

Windows Secure Socket Tunneling Protocol (SSTP)

Windows Storage Spaces Direct

Windows Unified Write Filter

Windows WebBrowser Control

Windows Win32K

セキュリティアップデートの対象となる製品は多岐にわたる上、脆弱性のいくつかは深刻度が緊急(Critical)に分類されており注意が必要。マイクロソフトによると、 CVE-2022-34713(Microsoft Windows Support Diagnostic Tool (MSDT) のリモートでコードが実行される脆弱性)については、悪用が確認されているという。

MicrosoftはすでにWindows Updateなどを通じて修正プログラムの配信を行っている。該当する製品を使用している場合には内容を確認するとともに迅速にアップデートを適用することが望まれる。