Microsoft、2023年10月の月例更新 - 103件の脆弱性への対応が行われる
マイクロソフトは、2023年10月11日(米国時間)、2023年10月のセキュリティ更新プログラム(月例パッチ)を公開した。該当するソフトウェアはCVEベースで103件である。()内は対応するCVEである。
Windows RDP(CVE-2023-29348)
Windowsメッセージキュー(CVE-2023-35349)
Azure SDK(CVE-2023-36414)
Azure SDK (CVE-2023-36415)
Microsoft Dynamics(CVE-2023-36416)
SQL Server(CVE-2023-36417)
Azureリアルタイムオペレーティングシステム(CVE-2023-36418)
Azure(CVE-2023-36419)
SQL Server(CVE-2023-36420)
Microsoft Dynamics(CVE-2023-36429)
Windowsメッセージキュー(CVE-2023-36431)
Microsoft Dynamics(CVE-2023-36433)
Windows IIS(CVE-2023-36434)
Microsoft QUIC(CVE-2023-36435)
Windows HTMLプラットフォーム(CVE-2023-36436)
Windows TCP/IP(CVE-2023-36438)
Windows HTMLプラットフォーム(CVE-2023-36557)
Azure DevOps(CVE-2023-36561)
Microsoftワードパッド(CVE-2023-36563)
Microsoft Windows検索コンポーネント(CVE-2023-36564)
Microsoft Office(CVE-2023-36565)
Microsoft Common Data Model SDK(CVE-2023-36566)
Windows展開サービス(CVE-2023-36567)
Microsoft Office(CVE-2023-36568)
Microsoft Office(CVE-2023-36569)
Windowsメッセージキュー(CVE-2023-36570)
Windowsメッセージキュー(CVE-2023-36571)
Windowsメッセージキュー(CVE-2023-36572)
Windowsメッセージキュー(CVE-2023-36573)
Windowsメッセージキュー(CVE-2023-36574)
Windowsメッセージキュー(CVE-2023-36575)
Windowsカーネル(CVE-2023-36576)
SQL用Microsoft WDAC OLE DBプロバイダー(CVE-2023-36577)
Windowsメッセージキュー(CVE-2023-36578)
Windowsメッセージキュー(CVE-2023-36579)
Windowsメッセージキュー(CVE-2023-36581)
Windowsメッセージキュー(CVE-2023-36582)
Windowsメッセージキュー(CVE-2023-36583)
Windows Mark of the Web(MOTW)(CVE-2023-36584)
Windows Active Template Library(CVE-2023-36585)
Windowsメッセージキュー(CVE-2023-36589)
Windowsメッセージキュー(CVE-2023-36590)
Windowsメッセージキュー(CVE-2023-36591)
Windowsメッセージキュー(CVE-2023-36592)
Windowsメッセージキュー(CVE-2023-36593)
Microsoft Graphicsコンポーネント(CVE-2023-36594)
Windowsリモートプロシージャコール(CVE-2023-36596)
SQL Server(CVE-2023-36598)
Windows TCP/IP(CVE-2023-36602)
Windows TCP/IP(CVE-2023-36603)
Windows名前付きパイプファイルシステム(CVE-2023-36605)
Windowsメッセージキュー(CVE-2023-36606)
Windowsメッセージキュー(CVE-2023-36697)
Windowsカーネル(CVE-2023-36698)
Windows Resilient File System(ReFS)(CVE-2023-36701)
Windows Microsoft DirectMusic(CVE-2023-36702)
Windows DHCPサーバー(CVE-2023-36703)
Windowsセットアップファイルクリーンアップ(CVE-2023-36704)
Windows展開サービス(CVE-2023-36706)
Windows展開サービス(CVE-2023-36707)
Windows AllJoyn API(CVE-2023-36709)
Microsoft Windows Media Foundation(CVE-2023-36710)
WindowsランタイムC++テンプレートライブラリ(CVE-2023-36711)
Windowsカーネル(CVE-2023-36712)
Windows共通ログファイルシステムドライバー(CVE-2023-36713)
Windows TPM(CVE-2023-36717)
Windowsトラステッドプラットフォームモジュール(CVE-2023-36718)
Windows Mixed Reality Developer Tools(CVE-2023-36720)
Windowsエラー報告(CVE-2023-36721)
Active Directory Domain Services(CVE-2023-36722)
Windows Container Managerサービス(CVE-2023-36723)
Windows Power Managerサービス(CVE-2023-36724)
Windows NT OSカーネル(CVE-2023-36725)
Windows IKE拡張(CVE-2023-36726)
SQL Server(CVE-2023-36728)
Windows名前付きパイプファイルシステム(CVE-2023-36729)
SQL Server(CVE-2023-36730)
Windows Win32K(CVE-2023-36731)
Windows Win32K(CVE-2023-36732)
Azure(CVE-2023-36737
Windows Win32K(CVE-2023-36743)
Windows Win32K(CVE-2023-36776)
Microsoft Exchange Server(CVE-2023-36778)
Skype for Business(CVE-2023-36780)
SQL Server(CVE-2023-36785)
Skype for Business(CVE-2023-36786)
Skype for Business(CVE-2023-36789)
Windows RDP(CVE-2023-36790)
Windows Client/Server Runtime Subsystem(CVE-2023-36902)
Microsoft Graphicsコンポーネント(CVE-2023-38159)
Windowsレイヤー2トンネリングプロトコル(CVE-2023-38166)
Microsoft QUIC(CVE-2023-38171)
Skype for Business(CVE-2023-41763)
Windowsレイヤー2トンネリングプロトコル(CVE-2023-41765)
Client Server Run-time Subsystem(CSRSS)(CVE-2023-41766)
Windowsレイヤー2トンネリングプロトコル(CVE-2023-41767)
Windowsレイヤー2トンネリングプロトコル(CVE-2023-41768)
Windowsレイヤー2トンネリングプロトコル(CVE-2023-41769)
Windowsレイヤー2トンネリングプロトコル(CVE-2023-41770)
Windowsレイヤー2トンネリングプロトコル(CVE-2023-41771)
Windows Win32K(CVE-2023-41772)
Windowsレイヤー2トンネリングプロトコル(CVE-2023-41773)
Windowsレイヤー2トンネリングプロトコル(CVE-2023-41774)
図1 2023年10月のセキュリティ更新プログラム(月例パッチ)が公開された
マイクロソフトでは、セキュリティ更新プログラム、セキュリティアドバイザリに関する注意点として、以下をあげる。
今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用や脆弱性の詳細が一般へ公開されていることを確認している。ユーザーにおいては、更新プログラムの適用を早急に行ってほしい。脆弱性の詳細は、各CVEのページを参照してほしい。
CVE-2023-41763:Skype for Businessの特権の昇格の脆弱性
CVE-2023-36563:Microsoftワードパッドの情報漏えいの脆弱性
CVE-2023-44487:MITRE: CVE-2023-44487 HTTP/2 Rapid Reset Attack
CVE-2023-44487の詳細については、Microsoft Security Response Centerのブログ HTTP/2に対する分散型サービス拒否(DDoS)攻撃に対するマイクロソフトの対応 についても併せて参照してほしい。
今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2023-36434 Windows IIS Serverの特権の昇格の脆弱性およびCVE-2023-35349 Microsoft Message Queuingのリモートでコードが実行される脆弱性は、CVSS基本値が9.8と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性である。これらの脆弱性が存在する製品、および悪用が可能となる条件については、各CVEのページの「よく寄せられる質問」を参照してほしい。セキュリティ更新プログラムが公開されるよりも前に、脆弱性の情報の一般への公開、脆弱性の悪用はないが、脆弱性の特性を鑑み、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨している。
Microsoft Exchangeの更新プログラムを展開する際のガイダンスは、Microsoft ExchangeチームブログReleased: October 2023 Exchange Server Security Updatesも併せて参照してほしい。
セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してほしい。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2023年10月セキュリティ更新プログラムリリースノートに掲載されている。
2023年10月10日 (米国時間) にWindows Server 2012/2012 R2のサポートが終了した。これらの製品を引き続き使用すると、セキュリティリスクにさらされる可能性がある。サポートが終了する製品をご利用のユーザーは、最新のバージョンへのアップデートを検討してほしい。詳細については、「Windows Server 2012および2012 R2のサポート終了」を参照してほしい。
新たに確認した脆弱性に対応した新しいセキュリティ更新プログラムは、以下の通り。
○Windows 11 v21H2およびv22H2
緊急(リモートでコードの実行が可能)
v22H2:KB5031354
v21H2:KB5031358
Windows 11 v22H2の更新プログラムであるKB5031354(累積更新プログラム)の構成内容であるが、
この更新プログラムは、Windowsオペレーティングシステムのセキュリティの問題に対処する。
となっている。
○Windows 10 v22H2、v21H2
緊急(リモートでコードの実行が可能)
KB5031356
○Windows Server 2022(Server Core installationを含む)
緊急(リモートでコードの実行が可能)
KB5031364
○Windows Server 2019、2016(Server Core installationを含む)
緊急(リモートでコードの実行が可能)
Windows Server 2019:KB5031361
Windows Server 2016:KB5031362
○Windows Server 2012 R2、Windows Server 2012(Server Core installationを含む)
緊急(リモートでコードの実行が可能)
Windows Server 2012 R2マンスリーロールアップ:KB5031419
Windows Server 2012 R2セキュリティのみ:KB5031407
Windows Server 2012マンスリーロールアップ:KB5031442
Windows Server 2012セキュリティのみ:KB5031427
○Microsoft Office
重要(特権の昇格)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/ja-jp/officeupdates/ を参照してほしい。
○Microsoft Exchange Server
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/exchange、Released: October 2023 Exchange Server Security Updatesを参照してほしい。
○Microsoft .NET
重要(サービス拒否)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dotnet を参照してほしい。
○Microsoft Visual Studio
重要(サービス拒否)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/visualstudio を参照してほしい。
○Microsoft Azure DevOps Server
重要(特権の昇格)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/azure/devops/server を参照してほしい。
○Microsoft Dynamics 365
重要(情報漏えい)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dynamics365 を参照してほしい。
○Microsoft SQL Server
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/sql を参照してほしい。
○Skype for Business Server
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/skypeforbusiness を参照してほしい。
○Azure関連のソフトウェア
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/azure を参照してほしい。
Windows RDP(CVE-2023-29348)
Windowsメッセージキュー(CVE-2023-35349)
Azure SDK(CVE-2023-36414)
Microsoft Dynamics(CVE-2023-36416)
SQL Server(CVE-2023-36417)
Azureリアルタイムオペレーティングシステム(CVE-2023-36418)
Azure(CVE-2023-36419)
SQL Server(CVE-2023-36420)
Microsoft Dynamics(CVE-2023-36429)
Windowsメッセージキュー(CVE-2023-36431)
Microsoft Dynamics(CVE-2023-36433)
Windows IIS(CVE-2023-36434)
Microsoft QUIC(CVE-2023-36435)
Windows HTMLプラットフォーム(CVE-2023-36436)
Windows TCP/IP(CVE-2023-36438)
Windows HTMLプラットフォーム(CVE-2023-36557)
Azure DevOps(CVE-2023-36561)
Microsoftワードパッド(CVE-2023-36563)
Microsoft Windows検索コンポーネント(CVE-2023-36564)
Microsoft Office(CVE-2023-36565)
Microsoft Common Data Model SDK(CVE-2023-36566)
Windows展開サービス(CVE-2023-36567)
Microsoft Office(CVE-2023-36568)
Microsoft Office(CVE-2023-36569)
Windowsメッセージキュー(CVE-2023-36570)
Windowsメッセージキュー(CVE-2023-36571)
Windowsメッセージキュー(CVE-2023-36572)
Windowsメッセージキュー(CVE-2023-36573)
Windowsメッセージキュー(CVE-2023-36574)
Windowsメッセージキュー(CVE-2023-36575)
Windowsカーネル(CVE-2023-36576)
SQL用Microsoft WDAC OLE DBプロバイダー(CVE-2023-36577)
Windowsメッセージキュー(CVE-2023-36578)
Windowsメッセージキュー(CVE-2023-36579)
Windowsメッセージキュー(CVE-2023-36581)
Windowsメッセージキュー(CVE-2023-36582)
Windowsメッセージキュー(CVE-2023-36583)
Windows Mark of the Web(MOTW)(CVE-2023-36584)
Windows Active Template Library(CVE-2023-36585)
Windowsメッセージキュー(CVE-2023-36589)
Windowsメッセージキュー(CVE-2023-36590)
Windowsメッセージキュー(CVE-2023-36591)
Windowsメッセージキュー(CVE-2023-36592)
Windowsメッセージキュー(CVE-2023-36593)
Microsoft Graphicsコンポーネント(CVE-2023-36594)
Windowsリモートプロシージャコール(CVE-2023-36596)
SQL Server(CVE-2023-36598)
Windows TCP/IP(CVE-2023-36602)
Windows TCP/IP(CVE-2023-36603)
Windows名前付きパイプファイルシステム(CVE-2023-36605)
Windowsメッセージキュー(CVE-2023-36606)
Windowsメッセージキュー(CVE-2023-36697)
Windowsカーネル(CVE-2023-36698)
Windows Resilient File System(ReFS)(CVE-2023-36701)
Windows Microsoft DirectMusic(CVE-2023-36702)
Windows DHCPサーバー(CVE-2023-36703)
Windowsセットアップファイルクリーンアップ(CVE-2023-36704)
Windows展開サービス(CVE-2023-36706)
Windows展開サービス(CVE-2023-36707)
Windows AllJoyn API(CVE-2023-36709)
Microsoft Windows Media Foundation(CVE-2023-36710)
WindowsランタイムC++テンプレートライブラリ(CVE-2023-36711)
Windowsカーネル(CVE-2023-36712)
Windows共通ログファイルシステムドライバー(CVE-2023-36713)
Windows TPM(CVE-2023-36717)
Windowsトラステッドプラットフォームモジュール(CVE-2023-36718)
Windows Mixed Reality Developer Tools(CVE-2023-36720)
Windowsエラー報告(CVE-2023-36721)
Active Directory Domain Services(CVE-2023-36722)
Windows Container Managerサービス(CVE-2023-36723)
Windows Power Managerサービス(CVE-2023-36724)
Windows NT OSカーネル(CVE-2023-36725)
Windows IKE拡張(CVE-2023-36726)
SQL Server(CVE-2023-36728)
Windows名前付きパイプファイルシステム(CVE-2023-36729)
SQL Server(CVE-2023-36730)
Windows Win32K(CVE-2023-36731)
Windows Win32K(CVE-2023-36732)
Azure(CVE-2023-36737
Windows Win32K(CVE-2023-36743)
Windows Win32K(CVE-2023-36776)
Microsoft Exchange Server(CVE-2023-36778)
Skype for Business(CVE-2023-36780)
SQL Server(CVE-2023-36785)
Skype for Business(CVE-2023-36786)
Skype for Business(CVE-2023-36789)
Windows RDP(CVE-2023-36790)
Windows Client/Server Runtime Subsystem(CVE-2023-36902)
Microsoft Graphicsコンポーネント(CVE-2023-38159)
Windowsレイヤー2トンネリングプロトコル(CVE-2023-38166)
Microsoft QUIC(CVE-2023-38171)
Skype for Business(CVE-2023-41763)
Windowsレイヤー2トンネリングプロトコル(CVE-2023-41765)
Client Server Run-time Subsystem(CSRSS)(CVE-2023-41766)
Windowsレイヤー2トンネリングプロトコル(CVE-2023-41767)
Windowsレイヤー2トンネリングプロトコル(CVE-2023-41768)
Windowsレイヤー2トンネリングプロトコル(CVE-2023-41769)
Windowsレイヤー2トンネリングプロトコル(CVE-2023-41770)
Windowsレイヤー2トンネリングプロトコル(CVE-2023-41771)
Windows Win32K(CVE-2023-41772)
Windowsレイヤー2トンネリングプロトコル(CVE-2023-41773)
Windowsレイヤー2トンネリングプロトコル(CVE-2023-41774)
図1 2023年10月のセキュリティ更新プログラム(月例パッチ)が公開された
マイクロソフトでは、セキュリティ更新プログラム、セキュリティアドバイザリに関する注意点として、以下をあげる。
今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用や脆弱性の詳細が一般へ公開されていることを確認している。ユーザーにおいては、更新プログラムの適用を早急に行ってほしい。脆弱性の詳細は、各CVEのページを参照してほしい。
CVE-2023-41763:Skype for Businessの特権の昇格の脆弱性
CVE-2023-36563:Microsoftワードパッドの情報漏えいの脆弱性
CVE-2023-44487:MITRE: CVE-2023-44487 HTTP/2 Rapid Reset Attack
CVE-2023-44487の詳細については、Microsoft Security Response Centerのブログ HTTP/2に対する分散型サービス拒否(DDoS)攻撃に対するマイクロソフトの対応 についても併せて参照してほしい。
今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2023-36434 Windows IIS Serverの特権の昇格の脆弱性およびCVE-2023-35349 Microsoft Message Queuingのリモートでコードが実行される脆弱性は、CVSS基本値が9.8と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性である。これらの脆弱性が存在する製品、および悪用が可能となる条件については、各CVEのページの「よく寄せられる質問」を参照してほしい。セキュリティ更新プログラムが公開されるよりも前に、脆弱性の情報の一般への公開、脆弱性の悪用はないが、脆弱性の特性を鑑み、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨している。
Microsoft Exchangeの更新プログラムを展開する際のガイダンスは、Microsoft ExchangeチームブログReleased: October 2023 Exchange Server Security Updatesも併せて参照してほしい。
セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してほしい。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2023年10月セキュリティ更新プログラムリリースノートに掲載されている。
2023年10月10日 (米国時間) にWindows Server 2012/2012 R2のサポートが終了した。これらの製品を引き続き使用すると、セキュリティリスクにさらされる可能性がある。サポートが終了する製品をご利用のユーザーは、最新のバージョンへのアップデートを検討してほしい。詳細については、「Windows Server 2012および2012 R2のサポート終了」を参照してほしい。
新たに確認した脆弱性に対応した新しいセキュリティ更新プログラムは、以下の通り。
○Windows 11 v21H2およびv22H2
緊急(リモートでコードの実行が可能)
v22H2:KB5031354
v21H2:KB5031358
Windows 11 v22H2の更新プログラムであるKB5031354(累積更新プログラム)の構成内容であるが、
この更新プログラムは、Windowsオペレーティングシステムのセキュリティの問題に対処する。
となっている。
○Windows 10 v22H2、v21H2
緊急(リモートでコードの実行が可能)
KB5031356
○Windows Server 2022(Server Core installationを含む)
緊急(リモートでコードの実行が可能)
KB5031364
○Windows Server 2019、2016(Server Core installationを含む)
緊急(リモートでコードの実行が可能)
Windows Server 2019:KB5031361
Windows Server 2016:KB5031362
○Windows Server 2012 R2、Windows Server 2012(Server Core installationを含む)
緊急(リモートでコードの実行が可能)
Windows Server 2012 R2マンスリーロールアップ:KB5031419
Windows Server 2012 R2セキュリティのみ:KB5031407
Windows Server 2012マンスリーロールアップ:KB5031442
Windows Server 2012セキュリティのみ:KB5031427
○Microsoft Office
重要(特権の昇格)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/ja-jp/officeupdates/ を参照してほしい。
○Microsoft Exchange Server
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/exchange、Released: October 2023 Exchange Server Security Updatesを参照してほしい。
○Microsoft .NET
重要(サービス拒否)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dotnet を参照してほしい。
○Microsoft Visual Studio
重要(サービス拒否)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/visualstudio を参照してほしい。
○Microsoft Azure DevOps Server
重要(特権の昇格)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/azure/devops/server を参照してほしい。
○Microsoft Dynamics 365
重要(情報漏えい)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dynamics365 を参照してほしい。
○Microsoft SQL Server
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/sql を参照してほしい。
○Skype for Business Server
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/skypeforbusiness を参照してほしい。
○Azure関連のソフトウェア
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/azure を参照してほしい。