Microsoft、2023年9月の月例更新 - 59件の脆弱性への対応が行われる
マイクロソフトは、2023年9月12日(米国時間)、2023年9月のセキュリティ更新プログラムを公開した。該当するソフトウェアはCVEベースで59件である。()内は対応するCVEである。
Microsoft Azure Kubernetes Service(CVE-2023-29332)
Azure DevOps(CVE-2023-33136)
Windows Cloud Files Mini Filter Driver(CVE-2023-35355)
Microsoft Identity Linuxブローカー(CVE-2023-36736)
3Dビューアー(CVE-2023-36739)
3Dビューアー(CVE-2023-36740)
Visual Studio Code(CVE-2023-36742)
Microsoft Exchange Server(CVE-2023-36744)
Microsoft Exchange Server(CVE-2023-36745)
Microsoft Exchange Server(CVE-2023-36756)
Microsoft Exchange Server(CVE-2023-36757)
Visual Studio(CVE-2023-36758)
Visual Studio(CVE-2023-36759)
3Dビューアー(CVE-2023-36760)
Microsoft Office Word(CVE-2023-36761)
Microsoft Office Word(CVE-2023-36762)
Microsoft Office Outlook(CVE-2023-36763)
Microsoft Office SharePoint(CVE-2023-36764)
Microsoft Office(CVE-2023-36765)
Microsoft Office Excel(CVE-2023-36766)
Microsoft Office(CVE-2023-36767)
3D Builder(CVE-2023-36770)
3D Builder(CVE-2023-36771)
3D Builder(CVE-2023-36772)
3D Builder(CVE-2023-36773)
Microsoft Exchange Server(CVE-2023-36777)
.NET Framework(CVE-2023-36788)
.NETとVisual Studio(CVE-2023-36792)
.NETとVisual Studio(CVE-2023-36793)
.NETとVisual Studio(CVE-2023-36794)
.NETとVisual Studio(CVE-2023-36796)
.NET CoreとVisual Studio(CVE-2023-36799)
Microsoft Dynamics Finance & Operations(CVE-2023-36800)
Windows DHCPサーバー(CVE-2023-36801)
Microsoft Streamサービス(CVE-2023-36802)
Windowsカーネル(CVE-2023-36803)
Windows GDI(CVE-2023-36804)
Windowsスクリプト(CVE-2023-36805)
Microsoft Dynamics(CVE-2023-36886)
Windowsカーネル(CVE-2023-38139)
Windowsカーネル(CVE-2023-38140)
Windowsカーネル(CVE-2023-38141)
Windowsカーネル(CVE-2023-38142)
Windows共通ログファイルシステムドライバー(CVE-2023-38143)
Windows共通ログファイルシステムドライバー(CVE-2023-38144)
Windows Themes(CVE-2023-38146)
Microsoft Windows Codecs Library(CVE-2023-38147)
Windowsインターネット接続の共有(ICS)(CVE-2023-38148)
Windows TCP/IP(CVE-2023-38149)
Windowsカーネル(CVE-2023-38150)
WindowsDHCPサーバー(CVE-2023-38152)
Azure DevOps(CVE-2023-38155)
Azure HDInsights(CVE-2023-38156)
Windows TCP/IP(CVE-2023-38160)
Windows GDI(CVE-2023-38161)
Windows DHCPサーバー(CVE-2023-38162)
Windows Defender(CVE-2023-38163)
Microsoft Dynamics(CVE-2023-38164)
Microsoft Office(CVE-2023-41764)
図1 2023年9月のセキュリティ更新プログラム(月例パッチ)が公開された
マイクロソフトでは、セキュリティ更新プログラム、セキュリティアドバイザリに関する注意点として、以下をあげる。
今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用や脆弱性の詳細が一般へ公開されていることを確認している。ユーザーにおいては、更新プログラムの適用を早急に行ってほしい。脆弱性の詳細は、各CVEのページを参照してほしい。
CVE-2023-36802 Microsoft Stream Servicesサービスのプロキシの特権の昇格の脆弱性
CVE-2023-36761Microsoft Wordの情報漏えいの脆弱性
9月の月例更新日に公開されたExchange Serverの脆弱性は、2023年8月の月例更新日に公開されたSUをインストールすることで解決できる。2023年9月に新たに公開されたExchange Server SUはない。Microsoft Exchangeの更新プログラムを展開する際のガイダンスは、Microsoft Exchangeチームブログ September 2023 release of new Exchange Server CVEs(resolved by August 2023 Security Updates)も併せて参考にしてほしい。
セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してほしい。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2023年9月セキュリティ更新プログラムリリースノートに掲載されている。
新たに確認した脆弱性に対応した新しいセキュリティ更新プログラムは、以下の通り。
○Windows 11 v21H2およびv22H2
緊急(リモートでコードの実行が可能)
v22H2:KB5030219
v21H2:KB5030217
Windows 11 v22H2の更新プログラムであるKB5030219(累積更新プログラム)の構成内容であるが、
この更新プログラムは、[固定キー]メニューから空白のメニュー項目を削除する。この問題は、KB5029351をインストールした後に発生する。
この更新プログラムは、Windowsオペレーティング システムのセキュリティの問題に対処する。
となっている。
○Windows 10 v22H2、v21H2
緊急(リモートでコードの実行が可能)
KB5030211
○Windows Server 2022(Server Core installationを含む)
緊急(リモートでコードの実行が可能)
KB5030216
KB5030325(セキュリティホットパッチアップデート)
○Windows Server 2019、2016(Server Core installationを含む)
重要(リモートでコードの実行が可能)
Windows Server 2019:KB5030214
Windows Server 2016:KB5030213
○Windows Server 2012 R2、Windows Server 2012(Server Core installationを含む)
重要(特権の昇格)
Windows Server 2012 R2マンスリーロールアップ:KB5030269
Windows Server 2012 R2セキュリティのみ:KB5030287
Windows Server 2012マンスリーロールアップ:KB5030278
Windows Server 2012セキュリティのみ:KB5030279
○Microsoft Office
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/ja-jp/officeupdates/ を参照してほしい。
○Microsoft SharePoint
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/officeupdates/sharepoint-updates を参照してほしい。
○Microsoft Exchange Server
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/exchange、September 2023 release of new Exchange Server CVEs(resolved by August 2023 Security Updates)を参照してほしい。
○Microsoft .NET
緊急(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dotnet を参照してほしい。
○Microsoft Visual Studio
緊急(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/visualstudio を参照してほしい。
○Microsoft Dynamics 365
重要(なりすまし)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dynamics365 を参照してほしい。
○Azure関連のソフトウェア
緊急(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/azure を参照してほしい。
○Microsoft Malware Protection Engine
重要(セキュリティ機能のバイパス)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/system-center を参照してほしい。
Microsoft Azure Kubernetes Service(CVE-2023-29332)
Azure DevOps(CVE-2023-33136)
Windows Cloud Files Mini Filter Driver(CVE-2023-35355)
3Dビューアー(CVE-2023-36739)
3Dビューアー(CVE-2023-36740)
Visual Studio Code(CVE-2023-36742)
Microsoft Exchange Server(CVE-2023-36744)
Microsoft Exchange Server(CVE-2023-36745)
Microsoft Exchange Server(CVE-2023-36756)
Microsoft Exchange Server(CVE-2023-36757)
Visual Studio(CVE-2023-36758)
Visual Studio(CVE-2023-36759)
3Dビューアー(CVE-2023-36760)
Microsoft Office Word(CVE-2023-36761)
Microsoft Office Word(CVE-2023-36762)
Microsoft Office Outlook(CVE-2023-36763)
Microsoft Office SharePoint(CVE-2023-36764)
Microsoft Office(CVE-2023-36765)
Microsoft Office Excel(CVE-2023-36766)
Microsoft Office(CVE-2023-36767)
3D Builder(CVE-2023-36770)
3D Builder(CVE-2023-36771)
3D Builder(CVE-2023-36772)
3D Builder(CVE-2023-36773)
Microsoft Exchange Server(CVE-2023-36777)
.NET Framework(CVE-2023-36788)
.NETとVisual Studio(CVE-2023-36792)
.NETとVisual Studio(CVE-2023-36793)
.NETとVisual Studio(CVE-2023-36794)
.NETとVisual Studio(CVE-2023-36796)
.NET CoreとVisual Studio(CVE-2023-36799)
Microsoft Dynamics Finance & Operations(CVE-2023-36800)
Windows DHCPサーバー(CVE-2023-36801)
Microsoft Streamサービス(CVE-2023-36802)
Windowsカーネル(CVE-2023-36803)
Windows GDI(CVE-2023-36804)
Windowsスクリプト(CVE-2023-36805)
Microsoft Dynamics(CVE-2023-36886)
Windowsカーネル(CVE-2023-38139)
Windowsカーネル(CVE-2023-38140)
Windowsカーネル(CVE-2023-38141)
Windowsカーネル(CVE-2023-38142)
Windows共通ログファイルシステムドライバー(CVE-2023-38143)
Windows共通ログファイルシステムドライバー(CVE-2023-38144)
Windows Themes(CVE-2023-38146)
Microsoft Windows Codecs Library(CVE-2023-38147)
Windowsインターネット接続の共有(ICS)(CVE-2023-38148)
Windows TCP/IP(CVE-2023-38149)
Windowsカーネル(CVE-2023-38150)
WindowsDHCPサーバー(CVE-2023-38152)
Azure DevOps(CVE-2023-38155)
Azure HDInsights(CVE-2023-38156)
Windows TCP/IP(CVE-2023-38160)
Windows GDI(CVE-2023-38161)
Windows DHCPサーバー(CVE-2023-38162)
Windows Defender(CVE-2023-38163)
Microsoft Dynamics(CVE-2023-38164)
Microsoft Office(CVE-2023-41764)
図1 2023年9月のセキュリティ更新プログラム(月例パッチ)が公開された
マイクロソフトでは、セキュリティ更新プログラム、セキュリティアドバイザリに関する注意点として、以下をあげる。
今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用や脆弱性の詳細が一般へ公開されていることを確認している。ユーザーにおいては、更新プログラムの適用を早急に行ってほしい。脆弱性の詳細は、各CVEのページを参照してほしい。
CVE-2023-36802 Microsoft Stream Servicesサービスのプロキシの特権の昇格の脆弱性
CVE-2023-36761Microsoft Wordの情報漏えいの脆弱性
9月の月例更新日に公開されたExchange Serverの脆弱性は、2023年8月の月例更新日に公開されたSUをインストールすることで解決できる。2023年9月に新たに公開されたExchange Server SUはない。Microsoft Exchangeの更新プログラムを展開する際のガイダンスは、Microsoft Exchangeチームブログ September 2023 release of new Exchange Server CVEs(resolved by August 2023 Security Updates)も併せて参考にしてほしい。
セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してほしい。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2023年9月セキュリティ更新プログラムリリースノートに掲載されている。
新たに確認した脆弱性に対応した新しいセキュリティ更新プログラムは、以下の通り。
○Windows 11 v21H2およびv22H2
緊急(リモートでコードの実行が可能)
v22H2:KB5030219
v21H2:KB5030217
Windows 11 v22H2の更新プログラムであるKB5030219(累積更新プログラム)の構成内容であるが、
この更新プログラムは、[固定キー]メニューから空白のメニュー項目を削除する。この問題は、KB5029351をインストールした後に発生する。
この更新プログラムは、Windowsオペレーティング システムのセキュリティの問題に対処する。
となっている。
○Windows 10 v22H2、v21H2
緊急(リモートでコードの実行が可能)
KB5030211
○Windows Server 2022(Server Core installationを含む)
緊急(リモートでコードの実行が可能)
KB5030216
KB5030325(セキュリティホットパッチアップデート)
○Windows Server 2019、2016(Server Core installationを含む)
重要(リモートでコードの実行が可能)
Windows Server 2019:KB5030214
Windows Server 2016:KB5030213
○Windows Server 2012 R2、Windows Server 2012(Server Core installationを含む)
重要(特権の昇格)
Windows Server 2012 R2マンスリーロールアップ:KB5030269
Windows Server 2012 R2セキュリティのみ:KB5030287
Windows Server 2012マンスリーロールアップ:KB5030278
Windows Server 2012セキュリティのみ:KB5030279
○Microsoft Office
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/ja-jp/officeupdates/ を参照してほしい。
○Microsoft SharePoint
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/officeupdates/sharepoint-updates を参照してほしい。
○Microsoft Exchange Server
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/exchange、September 2023 release of new Exchange Server CVEs(resolved by August 2023 Security Updates)を参照してほしい。
○Microsoft .NET
緊急(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dotnet を参照してほしい。
○Microsoft Visual Studio
緊急(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/visualstudio を参照してほしい。
○Microsoft Dynamics 365
重要(なりすまし)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dynamics365 を参照してほしい。
○Azure関連のソフトウェア
緊急(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/azure を参照してほしい。
○Microsoft Malware Protection Engine
重要(セキュリティ機能のバイパス)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/system-center を参照してほしい。