Microsoft、2023年4月の月例更新 - 悪用の確認された脆弱性の修正、Office 2013サポートの終了
マイクロソフトは、2023年4月11日(米国時間)、2023年4月のセキュリティ更新プログラム(月例パッチ)を公開した。該当するソフトウェアは以下の通り。
.NET Core
Azure Machine Learning
Azure Service Connector
Microsoft Bluetooth Driver
Microsoft Defender for Endpoint
Microsoft Dynamics
Microsoft Dynamics 365 Customer Voice
Microsoft Edge(Chromium-based)
Microsoft Graphics Component
Microsoft Message Queuing
Microsoft Office
Microsoft Office Publisher
Microsoft Office SharePoint
Microsoft Office Word
Microsoft PostScriptプリンタードライバー
Microsoftプリンタードライバー
Microsoft WDAC OLE DB provider for SQL
Microsoft Windows DNS
Visual Studio
Visual Studio Code
Windows Active Directory
Windows ALPC
Windows Ancillary Function Driver for WinSock
Windows Boot Manager
Windows Clip Service
Windows CNG Key Isolation Service
Windows Common Log File System Driver
Windows DHCP Server
Windows Enroll Engine
Windows Error Reporting
Windows Group Policy
Windows Internet Key Exchange(IKE)Protocol
Windows Kerberos
Windows Kernel
Windows Layer 2 Tunneling Protocol
Windows Lock Screen
Windows Netlogon
Windows Network Address Translation(NAT)
Windows Network File System
Windows Network Load Balancing
Windows NTLM
Windows PGM
Windows Point-to-Point Protocol over Ethernet(PPPoE)
Windows Point-to-Point Tunneling Protocol
Windows Raw Image Extension
Windows RDP Client
Windows Registry
Windows RPC API
Windows Secure Boot
Windows Secure Channel
Windows Secure Socket Tunneling Protocol(SSTP)
Windows Transport Security Layer(TLS)
Windows Win32K
マイクロソフトでは、セキュリティ更新プログラム、セキュリティアドバイザリに関する注意点として、以下をあげる。
今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2023-28252 Windows共通ログファイルシステムドライバーの特権の昇格の脆弱性は、すでに脆弱性の悪用が行われていることを確認している。なお、セキュリティ更新プログラムの公開時点では、この脆弱性の詳細の一般への公開は確認されていない。ユーザーにおいては、更新プログラムの適用を早急に行ってほしい。詳細は、CVE-2023-28252を参照してほしい。
今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2023-28250 Windows Pragmatic General Multicast(PGM)のリモートでコードが実行される脆弱性およびCVE-2023-21554 Microsoft Message Queuingのリモートでコードが実行される脆弱性は、CVSS基本値が9.8と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性である。これらの脆弱性が存在する製品、および悪用が可能となる条件については、各CVEのページの「よく寄せられる質問」を参照してほしい。セキュリティ更新プログラムが公開されるよりも前に、脆弱性の情報の一般への公開、脆弱性の悪用はないが、脆弱性の特性を鑑み、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨している。
セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してほしい。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2023年4月セキュリティ更新プログラムリリースノートに掲載されている。
今月の「悪意のあるソフトウェアの削除ツール」では、新たに対応を追加したファミリはない。新たに確認した脆弱性に対応した新しいセキュリティ更新プログラムは、以下の通り。
○Windows 11 v21H2および v22H2
緊急(リモートでコードの実行が可能)
v21H2:KB5025224
v22H2:KB5025239
Windows 11 v22H2の更新プログラムであるKB5025239(累積更新プログラム)の構成内容であるが、
この更新プログラムにより、Windowsオペレーティングシステムのセキュリティの問題に対処する。
となっている。
○Windows 10 v22H2、v21H2、およびv20H2
緊急(リモートでコードの実行が可能)
KB5025221
○Windows Server 2022(Server Core installationを含む)
緊急(リモートでコードの実行が可能)
KB5025230
○Windows Server 2019、2016(Server Core installationを含む)
緊急(リモートでコードの実行が可能)
Windows Server 2019:KB5025229
Windows Server 2016:KB5025228
○Windows Server 2012 R2、Windows Server 2012(Server Core installationを含む)
緊急(リモートでコードの実行が可能)
Windows Server 2012 R2マンスリーロールアップ:KB5025285
Windows Server 2012 R2セキュリティのみ:KB5025288
Windows Server 2012マンスリーロールアップ:KB5025287
Windows Server 2012セキュリティのみ:KB5025272
○Microsoft Office
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/officeupdatesを参照してほしい。
○Microsoft SharePoint
重要(なりすまし)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/officeupdates/sharepoint-updatesを参照してほしい。
○Microsoft .NET
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dotnetを参照してほしい。
○Microsoft Visual Studio
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/visualstudioを参照してほしい。
○Microsoft SQL Server
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/sqlを参照してほしい。
○Microsoft Dynamics 365
重要(なりすまし)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dynamics365を参照してほしい。
○Microsoft Azure-related software
重要(情報漏えい)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/azureを参照してほしい。
○Microsoft Malware Protection Engine
重要(サービス拒否)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/system-centerを参照してほしい。
○Remote Desktop client for Windows Desktop
重要(情報漏えい)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/azure/virtual-desktop/whats-new-client-windowsを参照してほしい。
.NET Core
Azure Machine Learning
Azure Service Connector
Microsoft Bluetooth Driver
Microsoft Defender for Endpoint
Microsoft Dynamics
Microsoft Edge(Chromium-based)
Microsoft Graphics Component
Microsoft Message Queuing
Microsoft Office
Microsoft Office Publisher
Microsoft Office SharePoint
Microsoft Office Word
Microsoft PostScriptプリンタードライバー
Microsoftプリンタードライバー
Microsoft WDAC OLE DB provider for SQL
Microsoft Windows DNS
Visual Studio
Visual Studio Code
Windows Active Directory
Windows ALPC
Windows Ancillary Function Driver for WinSock
Windows Boot Manager
Windows Clip Service
Windows CNG Key Isolation Service
Windows Common Log File System Driver
Windows DHCP Server
Windows Enroll Engine
Windows Error Reporting
Windows Group Policy
Windows Internet Key Exchange(IKE)Protocol
Windows Kerberos
Windows Kernel
Windows Layer 2 Tunneling Protocol
Windows Lock Screen
Windows Netlogon
Windows Network Address Translation(NAT)
Windows Network File System
Windows Network Load Balancing
Windows NTLM
Windows PGM
Windows Point-to-Point Protocol over Ethernet(PPPoE)
Windows Point-to-Point Tunneling Protocol
Windows Raw Image Extension
Windows RDP Client
Windows Registry
Windows RPC API
Windows Secure Boot
Windows Secure Channel
Windows Secure Socket Tunneling Protocol(SSTP)
Windows Transport Security Layer(TLS)
Windows Win32K
マイクロソフトでは、セキュリティ更新プログラム、セキュリティアドバイザリに関する注意点として、以下をあげる。
今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2023-28252 Windows共通ログファイルシステムドライバーの特権の昇格の脆弱性は、すでに脆弱性の悪用が行われていることを確認している。なお、セキュリティ更新プログラムの公開時点では、この脆弱性の詳細の一般への公開は確認されていない。ユーザーにおいては、更新プログラムの適用を早急に行ってほしい。詳細は、CVE-2023-28252を参照してほしい。
今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2023-28250 Windows Pragmatic General Multicast(PGM)のリモートでコードが実行される脆弱性およびCVE-2023-21554 Microsoft Message Queuingのリモートでコードが実行される脆弱性は、CVSS基本値が9.8と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性である。これらの脆弱性が存在する製品、および悪用が可能となる条件については、各CVEのページの「よく寄せられる質問」を参照してほしい。セキュリティ更新プログラムが公開されるよりも前に、脆弱性の情報の一般への公開、脆弱性の悪用はないが、脆弱性の特性を鑑み、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨している。
セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してほしい。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2023年4月セキュリティ更新プログラムリリースノートに掲載されている。
今月の「悪意のあるソフトウェアの削除ツール」では、新たに対応を追加したファミリはない。新たに確認した脆弱性に対応した新しいセキュリティ更新プログラムは、以下の通り。
○Windows 11 v21H2および v22H2
緊急(リモートでコードの実行が可能)
v21H2:KB5025224
v22H2:KB5025239
Windows 11 v22H2の更新プログラムであるKB5025239(累積更新プログラム)の構成内容であるが、
この更新プログラムにより、Windowsオペレーティングシステムのセキュリティの問題に対処する。
となっている。
○Windows 10 v22H2、v21H2、およびv20H2
緊急(リモートでコードの実行が可能)
KB5025221
○Windows Server 2022(Server Core installationを含む)
緊急(リモートでコードの実行が可能)
KB5025230
○Windows Server 2019、2016(Server Core installationを含む)
緊急(リモートでコードの実行が可能)
Windows Server 2019:KB5025229
Windows Server 2016:KB5025228
○Windows Server 2012 R2、Windows Server 2012(Server Core installationを含む)
緊急(リモートでコードの実行が可能)
Windows Server 2012 R2マンスリーロールアップ:KB5025285
Windows Server 2012 R2セキュリティのみ:KB5025288
Windows Server 2012マンスリーロールアップ:KB5025287
Windows Server 2012セキュリティのみ:KB5025272
○Microsoft Office
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/officeupdatesを参照してほしい。
○Microsoft SharePoint
重要(なりすまし)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/officeupdates/sharepoint-updatesを参照してほしい。
○Microsoft .NET
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dotnetを参照してほしい。
○Microsoft Visual Studio
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/visualstudioを参照してほしい。
○Microsoft SQL Server
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/sqlを参照してほしい。
○Microsoft Dynamics 365
重要(なりすまし)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dynamics365を参照してほしい。
○Microsoft Azure-related software
重要(情報漏えい)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/azureを参照してほしい。
○Microsoft Malware Protection Engine
重要(サービス拒否)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/system-centerを参照してほしい。
○Remote Desktop client for Windows Desktop
重要(情報漏えい)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/azure/virtual-desktop/whats-new-client-windowsを参照してほしい。
