米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は10月10日(米国時間)、「Microsoft Releases October 2023 Security Updates|CISA」において、Windowsなど複数のMicrosoft製品に複数の脆弱性が存在するとして、注意を呼び掛けた。これら脆弱性を悪用されると、遠隔から攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性がある。

脆弱性に関する情報は次のページにまとまっている。

2023 年 10 月のセキュリティ更新プログラム - リリース ノート - セキュリティ更新プログラム ガイド - Microsoft

Security Update Guide - Microsoft

Security Update Guide - Microsoft

脆弱性が存在するとされるプロダクトは次のとおり。

Active Directory Domain Services

Azure

Azure DevOps

Azure SDK

Azure リアルタイム オペレーティング システム

Client Server Run-time Subsystem (CSRSS)

Microsoft Common Data Model SDK

Microsoft Dynamics

Microsoft Exchange Server

Microsoft Graphics コンポーネント

Microsoft Office

Microsoft QUIC

Microsoft Windows Media Foundation

Microsoft Windows 検索コンポーネント

Microsoft ワードパッド

Skype for Business

SQL Server

SQL 用 Microsoft WDAC OLE DB プロバイダー

Windows Active Template Library

Windows AllJoyn API

Windows Client/Server Runtime Subsystem

Windows Container Manager サービス

Windows DHCP サーバー

Windows HTML プラットフォーム

Windows IIS

Windows IKE 拡張

Windows Mark of the Web (MOTW)

Windows Microsoft DirectMusic

Windows Mixed Reality Developer Tools

Windows NT OS カーネル

Windows Power Manager サービス

Windows RDP

Windows Resilient File System (ReFS)

Windows TCP/IP

Windows TPM

Windows Win32K

Windows エラー報告

Windows カーネル

Windows セットアップ ファイル クリーンアップ

Windows トラステッド プラットフォーム モジュール

Windows メッセージ キュー

Windows ランタイム C++ テンプレート ライブラリ

Windows リモート プロシージャ コール

Windows レイヤー 2 トンネリング プロトコル

Windows 共通ログ ファイル システム ドライバー

Windows 展開サービス

Windows 名前付きパイプ ファイル システム

セキュリティアップデートの対象となる製品は多岐にわたる上、一部の脆弱性は深刻度が緊急(Critical)に分類されており注意が必要。CISAは、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。

MicrosoftはすでにWindows Updateなどを通じて修正プログラムの配信を行っている。該当する製品を使用している場合には内容を確認するとともに迅速にアップデートを適用することが望まれる。