Microsoft、2023年5月の月例更新 - すでに悪用が確認された公開済みの脆弱性に対応、早急に適用を
マイクロソフトは、2023年5月9日(米国時間)、2023年5月のセキュリティ更新プログラム(月例パッチ)を公開した。該当するソフトウェアは以下の40件である。()内は対応するCVE。
Microsoft Teams(CVE-2023-24881)
Windows SMB(CVE-2023-24898)
Microsoft Graphicsコンポーネント(CVE-2023-24899)
Windows NTLM(CVE-2023-24900)
Windows NFS Portmapper(CVE-2023-24901)
Windows Win32K(CVE-2023-24902)
Windows Secure Socketトンネリングプロトコル(SSTP)(CVE-2023-24903)
Windowsインストーラー(CVE-2023-24904)
リモートデスクトップクライアント(CVE-2023-24905)
Windowsセキュアブート(CVE-2023-24932)
Windows NFS Portmapper(CVE-2023-24939)
Windows PGM(CVE-2023-24940)
Windowsネットワークファイルシステム(CVE-2023-24941)
Windowsリモートプロシージャコールランタイム(CVE-2023-24942)
Windows PGM(CVE-2023-24943)
Microsoft Bluetoothドライバー(CVE-2023-24944)
Windows iSCSI Target Service(CVE-2023-24945)
Windowsバックアップエンジン(CVE-2023-24946)
Microsoft Bluetoothドライバー(CVE-2023-24947)
Microsoft Bluetoothドライバー(CVE-2023-24948)
Windowsカーネル(CVE-2023-24949)
Microsoft Office SharePoint(CVE-2023-24950)
Microsoft Office Excel(CVE-2023-24953)
Microsoft Office SharePoint(CVE-2023-24954)
Microsoft Office SharePoint(CVE-2023-24955)
Windowsセキュアブート(CVE-2023-28251)
Windows LDAP - ライトウェイトディレクトリアクセスプロトコル(CVE-2023-28283)
Windows RDPクライアント(CVE-2023-28290)
Windows MSHTMLプラットフォーム(CVE-2023-29324)
Windows OLE(CVE-2023-29325)
Microsoft Office Access(CVE-2023-29333)
Microsoft Office Word(CVE-2023-29335)
Windows Win32K(CVE-2023-29336)
Visual Studio Code(CVE-2023-29338)
Microsoft Windows Codecs Library(CVE-2023-29340)
Microsoft Windows Codecs Library(CVE-2023-29341)
SysInternals(CVE-2023-29343)
Microsoft Office(CVE-2023-29344)
Microsoft Edge(Chromiumベース)(CVE-2023-29350)
Microsoft Edge(Chromiumベース)(CVE-2023-29354)
図1 2023年5月のセキュリティ更新プログラム(月例パッチ)が公開された
マイクロソフトでは、セキュリティ更新プログラム、セキュリティアドバイザリに関する注意点として、以下をあげる。
今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用や脆弱性の詳細が一般へ公開されていることを確認している。ユーザーにおいては、更新プログラムの適用を早急に行ってほしい。脆弱性の詳細は、各CVEのページを参照してほしい。
悪用を確認:CVE-2023-29336 Win32kの特権の昇格の脆弱性
公開を確認:CVE-2023-29325 Windows OLEのリモートでコードが実行される脆弱性
悪用および公開を確認:CVE-2023-24932 セキュアブートのセキュリティ機能のバイパスの脆弱性
今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2023-24932 セキュアブートのセキュリティ機能のバイパスの脆弱性は、脆弱性からシステムを保護するために、更新プログラムの適用に加え、追加の手順を実行する必要がある。詳細については、CVE-2023-24932およびGuidance related to Secure Boot Manager changes associated with CVE-2023-24932を参照してほしい。
今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2023-24881 Microsoft Teamsの情報漏えいの脆弱性は、脆弱性からシステムを保護するために、Teamsのバージョンアップに加え、追加の手順を実行する必要がある。詳細については、CVE-2023-24881を参照くしてほしい。
今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2023-24943 Windows Pragmatic General Multicast(PGM)のリモートでコードが実行される脆弱性およびCVE-2023-24941 Microsoftネットワークファイルシステムのリモートでコードが実行される脆弱性は、CVSS基本値が9.8と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性である。これらの脆弱性が存在する製品、および悪用が可能となる条件については、各CVEのページの「よく寄せられる質問」を参照してほしい。セキュリティ更新プログラムが公開されるよりも前に、脆弱性の情報の一般への公開、脆弱性の悪用はないが、脆弱性の特性を鑑み、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨している。
今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2023-29324 Windows MSHTML Platformのセキュリティ機能のバイパスの脆弱性について、ブログMicrosoft Mitigates Outlook Elevation of Privilege Vulnerabilityが更新されている。Windows用Microsoft Outlookを利用のユーザーは、ブログの内容を確認してほしい。
セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してください。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2023年5月セキュリティ更新プログラムリリースノートに掲載されている。
[リマインダー]2023年6月以降に予定されているWindowsのセキュリティ強化について。すでにアナウンスが行われている通り、脆弱性からシステムを保護するため、2023年6月以降のWindows用更新プログラムでは、セキュリティ強化の設定が段階的に有効化される予定である。予定されている変更内容とスケジュールについては、Latest Windows hardening guidance and key datesを参照してほしい。
新たに確認した脆弱性に対応した新しいセキュリティ更新プログラムは、以下の通り。
○Windows 11 v21H2および v22H2
緊急(リモートでコードの実行が可能)
v21H2:KB5026372
v22H2:KB5026368
Windows 11 v22H2の更新プログラムであるKB5026372(累積更新プログラム)の構成内容であるが、
新機能:この更新プログラムは、[設定]→Windows Updateページに新しいトグルコントロールを追加する(図2)。 オンにすると、使用中のデバイスで利用可能な最新のセキュリティ以外の更新プログラムと拡張機能を取得するために、デバイスの優先順位が設定される。 マネージドデバイスの場合、トグルは既定で無効になっています。 詳細については、「デバイスで利用可能になるとすぐにWindows更新プログラムを入手する」を参照してほしい。
この更新プログラムは、Windowsオペレーティングシステムのセキュリティの問題に対処する。
となっている。
図2 新しいトグルコントロール
○Windows 10 v22H2、v21H2、およびv20H2
緊急(リモートでコードの実行が可能)
KB5026361
○Windows Server 2022(Server Core installationを含む)
緊急(リモートでコードの実行が可能)
KB5026370
ホットパッチ:KB5026456
○Windows Server 2019、2016(Server Core installationを含む)
緊急(リモートでコードの実行が可能)
Windows Server 2019:KB5026362
Windows Server 2016:KB5026363
○Windows Server 2012 R2、Windows Server 2012(Server Core installationを含む)
緊急(リモートでコードの実行が可能)
Windows Server 2012 R2マンスリーロールアップ:KB5026415
Windows Server 2012 R2セキュリティのみ:KB5026409
Windows Server 2012マンスリーロールアップ:KB5026419
Windows Server 2012セキュリティのみ:KB5026411
○Microsoft Office
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/officeupdates を参照してほしい。
○Microsoft SharePoint
緊急(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/officeupdates/sharepoint-updates を参照してほしい。
○Microsoft Visual Studio
重要(情報漏えい)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/visualstudio を参照してほしい。
○Windows Sysmon
重要(特権の昇格)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/sysinternals を参照してほしい。
○Microsoft Remote Desktop
重要(情報漏えい)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/azure/virtual-desktop/whats-new-client-windows を参照してほしい。
Microsoft Teams(CVE-2023-24881)
Windows SMB(CVE-2023-24898)
Microsoft Graphicsコンポーネント(CVE-2023-24899)
Windows NFS Portmapper(CVE-2023-24901)
Windows Win32K(CVE-2023-24902)
Windows Secure Socketトンネリングプロトコル(SSTP)(CVE-2023-24903)
Windowsインストーラー(CVE-2023-24904)
リモートデスクトップクライアント(CVE-2023-24905)
Windowsセキュアブート(CVE-2023-24932)
Windows NFS Portmapper(CVE-2023-24939)
Windows PGM(CVE-2023-24940)
Windowsネットワークファイルシステム(CVE-2023-24941)
Windowsリモートプロシージャコールランタイム(CVE-2023-24942)
Windows PGM(CVE-2023-24943)
Microsoft Bluetoothドライバー(CVE-2023-24944)
Windows iSCSI Target Service(CVE-2023-24945)
Windowsバックアップエンジン(CVE-2023-24946)
Microsoft Bluetoothドライバー(CVE-2023-24947)
Microsoft Bluetoothドライバー(CVE-2023-24948)
Windowsカーネル(CVE-2023-24949)
Microsoft Office SharePoint(CVE-2023-24950)
Microsoft Office Excel(CVE-2023-24953)
Microsoft Office SharePoint(CVE-2023-24954)
Microsoft Office SharePoint(CVE-2023-24955)
Windowsセキュアブート(CVE-2023-28251)
Windows LDAP - ライトウェイトディレクトリアクセスプロトコル(CVE-2023-28283)
Windows RDPクライアント(CVE-2023-28290)
Windows MSHTMLプラットフォーム(CVE-2023-29324)
Windows OLE(CVE-2023-29325)
Microsoft Office Access(CVE-2023-29333)
Microsoft Office Word(CVE-2023-29335)
Windows Win32K(CVE-2023-29336)
Visual Studio Code(CVE-2023-29338)
Microsoft Windows Codecs Library(CVE-2023-29340)
Microsoft Windows Codecs Library(CVE-2023-29341)
SysInternals(CVE-2023-29343)
Microsoft Office(CVE-2023-29344)
Microsoft Edge(Chromiumベース)(CVE-2023-29350)
Microsoft Edge(Chromiumベース)(CVE-2023-29354)
図1 2023年5月のセキュリティ更新プログラム(月例パッチ)が公開された
マイクロソフトでは、セキュリティ更新プログラム、セキュリティアドバイザリに関する注意点として、以下をあげる。
今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用や脆弱性の詳細が一般へ公開されていることを確認している。ユーザーにおいては、更新プログラムの適用を早急に行ってほしい。脆弱性の詳細は、各CVEのページを参照してほしい。
悪用を確認:CVE-2023-29336 Win32kの特権の昇格の脆弱性
公開を確認:CVE-2023-29325 Windows OLEのリモートでコードが実行される脆弱性
悪用および公開を確認:CVE-2023-24932 セキュアブートのセキュリティ機能のバイパスの脆弱性
今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2023-24932 セキュアブートのセキュリティ機能のバイパスの脆弱性は、脆弱性からシステムを保護するために、更新プログラムの適用に加え、追加の手順を実行する必要がある。詳細については、CVE-2023-24932およびGuidance related to Secure Boot Manager changes associated with CVE-2023-24932を参照してほしい。
今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2023-24881 Microsoft Teamsの情報漏えいの脆弱性は、脆弱性からシステムを保護するために、Teamsのバージョンアップに加え、追加の手順を実行する必要がある。詳細については、CVE-2023-24881を参照くしてほしい。
今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2023-24943 Windows Pragmatic General Multicast(PGM)のリモートでコードが実行される脆弱性およびCVE-2023-24941 Microsoftネットワークファイルシステムのリモートでコードが実行される脆弱性は、CVSS基本値が9.8と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性である。これらの脆弱性が存在する製品、および悪用が可能となる条件については、各CVEのページの「よく寄せられる質問」を参照してほしい。セキュリティ更新プログラムが公開されるよりも前に、脆弱性の情報の一般への公開、脆弱性の悪用はないが、脆弱性の特性を鑑み、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨している。
今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2023-29324 Windows MSHTML Platformのセキュリティ機能のバイパスの脆弱性について、ブログMicrosoft Mitigates Outlook Elevation of Privilege Vulnerabilityが更新されている。Windows用Microsoft Outlookを利用のユーザーは、ブログの内容を確認してほしい。
セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してください。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2023年5月セキュリティ更新プログラムリリースノートに掲載されている。
[リマインダー]2023年6月以降に予定されているWindowsのセキュリティ強化について。すでにアナウンスが行われている通り、脆弱性からシステムを保護するため、2023年6月以降のWindows用更新プログラムでは、セキュリティ強化の設定が段階的に有効化される予定である。予定されている変更内容とスケジュールについては、Latest Windows hardening guidance and key datesを参照してほしい。
新たに確認した脆弱性に対応した新しいセキュリティ更新プログラムは、以下の通り。
○Windows 11 v21H2および v22H2
緊急(リモートでコードの実行が可能)
v21H2:KB5026372
v22H2:KB5026368
Windows 11 v22H2の更新プログラムであるKB5026372(累積更新プログラム)の構成内容であるが、
新機能:この更新プログラムは、[設定]→Windows Updateページに新しいトグルコントロールを追加する(図2)。 オンにすると、使用中のデバイスで利用可能な最新のセキュリティ以外の更新プログラムと拡張機能を取得するために、デバイスの優先順位が設定される。 マネージドデバイスの場合、トグルは既定で無効になっています。 詳細については、「デバイスで利用可能になるとすぐにWindows更新プログラムを入手する」を参照してほしい。
この更新プログラムは、Windowsオペレーティングシステムのセキュリティの問題に対処する。
となっている。
図2 新しいトグルコントロール
○Windows 10 v22H2、v21H2、およびv20H2
緊急(リモートでコードの実行が可能)
KB5026361
○Windows Server 2022(Server Core installationを含む)
緊急(リモートでコードの実行が可能)
KB5026370
ホットパッチ:KB5026456
○Windows Server 2019、2016(Server Core installationを含む)
緊急(リモートでコードの実行が可能)
Windows Server 2019:KB5026362
Windows Server 2016:KB5026363
○Windows Server 2012 R2、Windows Server 2012(Server Core installationを含む)
緊急(リモートでコードの実行が可能)
Windows Server 2012 R2マンスリーロールアップ:KB5026415
Windows Server 2012 R2セキュリティのみ:KB5026409
Windows Server 2012マンスリーロールアップ:KB5026419
Windows Server 2012セキュリティのみ:KB5026411
○Microsoft Office
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/officeupdates を参照してほしい。
○Microsoft SharePoint
緊急(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/officeupdates/sharepoint-updates を参照してほしい。
○Microsoft Visual Studio
重要(情報漏えい)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/visualstudio を参照してほしい。
○Windows Sysmon
重要(特権の昇格)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/sysinternals を参照してほしい。
○Microsoft Remote Desktop
重要(情報漏えい)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/azure/virtual-desktop/whats-new-client-windows を参照してほしい。