Microsoftが更新プログラム公開、複数のゼロデイ脆弱性修正 - 迅速に対応を
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は11月14日(米国時間)、「Microsoft Releases October 2023 Security Updates|CISA」において、Windowsなど複数のMicrosoft製品に複数の脆弱性が存在するとして、注意を呼び掛けた。これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされている。
脆弱性に関する情報は次のページにまとまっている。
2023 年 11 月のセキュリティ更新プログラム - リリース ノート - セキュリティ更新プログラム ガイド - Microsoft
Security Update Guide - Microsoft
脆弱性が存在するとされるプロダクトは次のとおり。
.NET Framework
ASP.NET
Azure
Azure DevOps
Microsoft Dynamics
Microsoft Dynamics 365 Sales
Microsoft Edge (Chromiumベース)
Microsoft Exchange Server
Microsoft Office
Microsoft Office Excel
Microsoft Office SharePoint
Microsoft Remote Registry Service
Microsoft WDAC OLE DB provider for SQL
Microsoft Windows Search Component
Microsoft Windows Speech
Open Management Infrastructure
Tablet Windows User Interface
Visual Studio
Visual Studio Code
Windows Authentication Methods
Windows Cloud Files Mini Filter Driver
Windows Common Log File System Driver
Windows Compressed Folder
Windows Defender
Windows Deployment Services
Windows DHCP Server
Windows Distributed File System (DFS)
Windows DWM Core Library
Windows HMAC Key Derivation
Windows Hyper-V
Windows Installer
Windows Internet Connection Sharing (ICS)
Windows Kernel
Windows NTFS
Windows Protected EAP (PEAP)
Windows Scripting
Windows SmartScreen
Windows Storage
修正対象となっている脆弱性と共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)v3.1スコア値は次のとおり。
CVE-2023-36007 7.6
CVE-2023-36014 7.3
CVE-2023-36016 6.2
CVE-2023-36017 8.8
CVE-2023-36018 7.8
CVE-2023-36021 8.0
CVE-2023-36022 6.6
CVE-2023-36024 7.1
CVE-2023-36025 8.8
CVE-2023-36027 7.1
CVE-2023-36028 9.8
CVE-2023-36029 4.3
CVE-2023-36030 6.1
CVE-2023-36031 7.6
CVE-2023-36033 7.8
CVE-2023-36034 7.3
CVE-2023-36035 8.0
CVE-2023-36036 7.8
CVE-2023-36037 7.8
CVE-2023-36038 8.2
CVE-2023-36039 8.0
CVE-2023-36041 7.8
CVE-2023-36042 6.2
CVE-2023-36043 6.5
CVE-2023-36045 7.8
CVE-2023-36046 7.1
CVE-2023-36047 7.8
CVE-2023-36049 7.6
CVE-2023-36050 8.0
CVE-2023-36052 8.6
CVE-2023-36392 7.5
CVE-2023-36393 7.8
CVE-2023-36394 7.0
CVE-2023-36395 7.5
CVE-2023-36396 7.8
CVE-2023-36397 9.8
CVE-2023-36398 6.5
CVE-2023-36399 7.1
CVE-2023-36400 8.8
CVE-2023-36401 7.2
CVE-2023-36402 8.8
CVE-2023-36403 7.0
CVE-2023-36404 5.5
CVE-2023-36405 7.0
CVE-2023-36406 5.5
CVE-2023-36407 7.8
CVE-2023-36408 7.8
CVE-2023-36410 7.6
CVE-2023-36413 6.5
CVE-2023-36422 7.8
CVE-2023-36423 7.2
CVE-2023-36424 7.8
CVE-2023-36425 8.0
CVE-2023-36427 7.0
CVE-2023-36428 5.5
CVE-2023-36437 8.8
CVE-2023-36439 8.0
CVE-2023-36558 6.2
CVE-2023-36560 8.8
CVE-2023-36705 7.8
CVE-2023-36719 8.4
CVE-2023-38151 8.8
CVE-2023-38177 6.1
今回の累積更新プログラムは複数のゼロデイ脆弱性を修正しているほか、修正対象となっている一部の脆弱性は深刻度が緊急(Critical)と分析されており注意が必要。該当する製品を使用している場合は迅速にアップデートを適用することが望まれる。
また、Windows 11向けに配信される今回の累積更新プログラムには新機能の導入も行われており、これまで開発者やアーリーアダプタが使用できたWindows 11の新しい機能が使えるようになっている点が注目される。
2023 年 11 月のセキュリティ更新プログラム - リリース ノート - セキュリティ更新プログラム ガイド - Microsoft
Security Update Guide - Microsoft
脆弱性が存在するとされるプロダクトは次のとおり。
.NET Framework
ASP.NET
Azure
Azure DevOps
Microsoft Dynamics
Microsoft Dynamics 365 Sales
Microsoft Edge (Chromiumベース)
Microsoft Exchange Server
Microsoft Office
Microsoft Office Excel
Microsoft Office SharePoint
Microsoft Remote Registry Service
Microsoft WDAC OLE DB provider for SQL
Microsoft Windows Search Component
Microsoft Windows Speech
Open Management Infrastructure
Tablet Windows User Interface
Visual Studio
Visual Studio Code
Windows Authentication Methods
Windows Cloud Files Mini Filter Driver
Windows Common Log File System Driver
Windows Compressed Folder
Windows Defender
Windows Deployment Services
Windows DHCP Server
Windows Distributed File System (DFS)
Windows DWM Core Library
Windows HMAC Key Derivation
Windows Hyper-V
Windows Installer
Windows Internet Connection Sharing (ICS)
Windows Kernel
Windows NTFS
Windows Protected EAP (PEAP)
Windows Scripting
Windows SmartScreen
Windows Storage
修正対象となっている脆弱性と共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)v3.1スコア値は次のとおり。
CVE-2023-36007 7.6
CVE-2023-36014 7.3
CVE-2023-36016 6.2
CVE-2023-36017 8.8
CVE-2023-36018 7.8
CVE-2023-36021 8.0
CVE-2023-36022 6.6
CVE-2023-36024 7.1
CVE-2023-36025 8.8
CVE-2023-36027 7.1
CVE-2023-36028 9.8
CVE-2023-36029 4.3
CVE-2023-36030 6.1
CVE-2023-36031 7.6
CVE-2023-36033 7.8
CVE-2023-36034 7.3
CVE-2023-36035 8.0
CVE-2023-36036 7.8
CVE-2023-36037 7.8
CVE-2023-36038 8.2
CVE-2023-36039 8.0
CVE-2023-36041 7.8
CVE-2023-36042 6.2
CVE-2023-36043 6.5
CVE-2023-36045 7.8
CVE-2023-36046 7.1
CVE-2023-36047 7.8
CVE-2023-36049 7.6
CVE-2023-36050 8.0
CVE-2023-36052 8.6
CVE-2023-36392 7.5
CVE-2023-36393 7.8
CVE-2023-36394 7.0
CVE-2023-36395 7.5
CVE-2023-36396 7.8
CVE-2023-36397 9.8
CVE-2023-36398 6.5
CVE-2023-36399 7.1
CVE-2023-36400 8.8
CVE-2023-36401 7.2
CVE-2023-36402 8.8
CVE-2023-36403 7.0
CVE-2023-36404 5.5
CVE-2023-36405 7.0
CVE-2023-36406 5.5
CVE-2023-36407 7.8
CVE-2023-36408 7.8
CVE-2023-36410 7.6
CVE-2023-36413 6.5
CVE-2023-36422 7.8
CVE-2023-36423 7.2
CVE-2023-36424 7.8
CVE-2023-36425 8.0
CVE-2023-36427 7.0
CVE-2023-36428 5.5
CVE-2023-36437 8.8
CVE-2023-36439 8.0
CVE-2023-36558 6.2
CVE-2023-36560 8.8
CVE-2023-36705 7.8
CVE-2023-36719 8.4
CVE-2023-38151 8.8
CVE-2023-38177 6.1
今回の累積更新プログラムは複数のゼロデイ脆弱性を修正しているほか、修正対象となっている一部の脆弱性は深刻度が緊急(Critical)と分析されており注意が必要。該当する製品を使用している場合は迅速にアップデートを適用することが望まれる。
また、Windows 11向けに配信される今回の累積更新プログラムには新機能の導入も行われており、これまで開発者やアーリーアダプタが使用できたWindows 11の新しい機能が使えるようになっている点が注目される。
