Microsoft製品に緊急の脆弱性、累積更新プログラム適用を-悪用も確認
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は3月14日(米国時間)、「Microsoft Releases March 2023 Security Updates|CISA」において、Windowsなど複数のMicrosoft製品に複数の脆弱性が存在すると伝えた。
これら脆弱性を悪用されると、遠隔から攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされている。脆弱性に関する情報は次のページにまとまっている。
Security Update Guide - Microsoft Security Response Center
Security Update Guide - Microsoft
Security Update Guide - Microsoft
脆弱性が存在するとされるプロダクトは次のとおり。
Azure
Client Server Run-time Subsystem (CSRSS)
Internet Control Message Protocol (ICMP)
Microsoft Bluetooth Driver
Microsoft Dynamics
Microsoft Edge (Chromium-based)
Microsoft Graphics Component
Microsoft Office Excel
Microsoft Office Outlook
Microsoft Office SharePoint
Microsoft OneDrive
Microsoft PostScript Printer Driver
Microsoft Printer Drivers
Microsoft Windows Codecs Library
Office for Android
Remote Access Service Point-to-Point Tunneling Protocol
Role: DNS Server
Role: Windows Hyper-V
Service Fabric
Visual Studio
Windows Accounts Control
Windows Bluetooth Service
Windows Central Resource Manager
Windows Cryptographic Services
Windows Defender
Windows HTTP Protocol Stack
Windows HTTP.sys
Windows Internet Key Exchange (IKE) Protocol
Windows Kernel
Windows Partition Management Driver
Windows Point-to-Point Protocol over Ethernet (PPPoE)
Windows Remote Procedure Call
Windows Remote Procedure Call Runtime
Windows Resilient File System (ReFS)
Windows Secure Channel
Windows SmartScreen
Windows TPM
Windows Win32K
修正対象となっているセキュリティ脆弱性のうち、Microsoft Outlook for Windowsに存在する特権昇格の脆弱性(CVE-2023-23397)と、Windows SmartScreenにおけるセキュリティ機能バイパスの脆弱性(CVE-2023-24880)はすでに悪用が確認されており注意が必要。
MicrosoftはWindows Updateなどを通じて修正プログラムの配信を行っている。該当する製品を使用している場合は、内容を確認するとともに迅速にアップデートを適用することが望まれる。
Security Update Guide - Microsoft Security Response Center
Security Update Guide - Microsoft
Security Update Guide - Microsoft
脆弱性が存在するとされるプロダクトは次のとおり。
Azure
Client Server Run-time Subsystem (CSRSS)
Internet Control Message Protocol (ICMP)
Microsoft Bluetooth Driver
Microsoft Dynamics
Microsoft Edge (Chromium-based)
Microsoft Graphics Component
Microsoft Office Excel
Microsoft Office Outlook
Microsoft Office SharePoint
Microsoft OneDrive
Microsoft PostScript Printer Driver
Microsoft Printer Drivers
Microsoft Windows Codecs Library
Office for Android
Remote Access Service Point-to-Point Tunneling Protocol
Role: DNS Server
Role: Windows Hyper-V
Service Fabric
Visual Studio
Windows Accounts Control
Windows Bluetooth Service
Windows Central Resource Manager
Windows Cryptographic Services
Windows Defender
Windows HTTP Protocol Stack
Windows HTTP.sys
Windows Internet Key Exchange (IKE) Protocol
Windows Kernel
Windows Partition Management Driver
Windows Point-to-Point Protocol over Ethernet (PPPoE)
Windows Remote Procedure Call
Windows Remote Procedure Call Runtime
Windows Resilient File System (ReFS)
Windows Secure Channel
Windows SmartScreen
Windows TPM
Windows Win32K
修正対象となっているセキュリティ脆弱性のうち、Microsoft Outlook for Windowsに存在する特権昇格の脆弱性(CVE-2023-23397)と、Windows SmartScreenにおけるセキュリティ機能バイパスの脆弱性(CVE-2023-24880)はすでに悪用が確認されており注意が必要。
MicrosoftはWindows Updateなどを通じて修正プログラムの配信を行っている。該当する製品を使用している場合は、内容を確認するとともに迅速にアップデートを適用することが望まれる。