Microsoft、2023年11月の月例更新 - 78件の脆弱性への対応が行われる
マイクロソフトは、2023年11月14日(米国時間)、2023年11月のセキュリティ更新プログラム(月例パッチ)を公開した。
図1 2023年11月のセキュリティ更新プログラムが公開された
マイクロソフトでは、セキュリティ更新プログラム、セキュリティアドバイザリに関する注意点として、以下をあげる。
今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用や脆弱性の詳細が一般へ公開されていることを確認している。ユーザーにおいては、更新プログラムの適用を早急に行ってほしい。脆弱性の詳細は、各CVEのページを参照してほしい。
CVE-2023-36413:Microsoft Officeのセキュリティ機能のバイパスの脆弱性
CVE-2023-36038:ASP.NET Coreのサービス拒否の脆弱性
CVE-2023-36033:Windows DWM Coreライブラリの特権の昇格の脆弱性
CVE-2023-36036:Windows Cloud Files Mini Filterドライバーの特権の昇格の脆弱性
CVE-2023-36025:Windows SmartScreenのセキュリティ機能のバイパスの脆弱性
今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2023-36028 Microsoft Protected Extensible Authentication Protocol (PEAP) のリモートでコードが実行される脆弱性およびCVE-2023-36397 Windows Pragmatic General Multicast(PGM)のリモートでコードが実行される脆弱性は、CVSS基本値が9.8と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性である。これらの脆弱性が存在する製品、および悪用が可能となる条件については、各CVEのページの「よく寄せられる質問」を参照してほしい。セキュリティ更新プログラムが公開されるよりも前に、脆弱性の情報の一般への公開、脆弱性の悪用はないが、脆弱性の特性を鑑み、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨している。
今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2023-36052 Azure CLI RESTコマンドの情報漏えいの脆弱性は、脆弱性の詳細についてブログに公開している。詳細については、Microsoft Security Response Center のブログAzure CLI経由で GitHub Actions Logに流出した認証情報に関するマイクロソフトのガイダンスを参照してほしい。
Microsoft Exchangeの更新プログラムを展開する際のガイダンスは、Microsoft Exchange チームブログReleased: November 2023 Exchange Server Security Updates Released: November 2023 Exchange Server Security Updatesも併せてご参照してほしい。
セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してほしい。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2023年11月セキュリティ更新プログラムリリースノートに掲載されている。
新たに確認した脆弱性に対応した新しいセキュリティ更新プログラムは、以下の通り。
○Windows 11 v23H2、v22H2、v21H2
緊急(リモートでコードの実行が可能)
v23H2、v22H2:KB5032190
v21H2:KB5032192
Windows 11 v22H2、v23H2の更新プログラムであるKB5032190(累積更新プログラム)の構成内容であるが、v23H2では、品質が強化された。主な変更は、次のとおりである。
バージョン22H2 Windows 11のすべての機能強化が含まれている
このリリースでは、追加の問題は文書化されていない
v22H2では、更新プログラムのKB5031455(2023年10月26日にリリース)の一部であった機能強化が含まれている。このKBをインストールする場合、内部OS機能に対するその他のセキュリティの強化が行われる。このリリースについて追加の問題は記録されていない。
○Windows 10 v22H2、v21H2
緊急(リモートでコードの実行が可能)
KB5032189
○Windows Server 2022、23H2(Server Core installationを含む)
緊急(リモートでコードの実行が可能)
KB5032198
○Windows Server 2019、2016(Server Core installationを含む)
緊急(リモートでコードの実行が可能)
Windows Server 2019:KB5032196
Windows Server 2016:KB5032197
○Microsoft Office
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/ja-jp/officeupdates/ を参照してほしい。
○Microsoft SharePoint
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/officeupdates/sharepoint-updates を参照してほしい。
○Microsoft Exchange Server
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/exchange Released: November 2023 Exchange Server Security Updatesを参照してほしい。
○Microsoft .NET
重要(特権の昇格)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dotnet を参照してほしい。
○Microsoft Visual Studio
重要(特権の昇格)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/visualstudio を参照してほしい。
○Microsoft Dynamics 365
重要(なりすまし)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dynamics365 を参照してほしい。
○Microsoft Azure関連のソフトウェア
緊急(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/azure を参照してほしい。
○System Center
重要(特権の昇格)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/system-center を参照してほしい。
図1 2023年11月のセキュリティ更新プログラムが公開された
マイクロソフトでは、セキュリティ更新プログラム、セキュリティアドバイザリに関する注意点として、以下をあげる。
今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用や脆弱性の詳細が一般へ公開されていることを確認している。ユーザーにおいては、更新プログラムの適用を早急に行ってほしい。脆弱性の詳細は、各CVEのページを参照してほしい。
CVE-2023-36038:ASP.NET Coreのサービス拒否の脆弱性
CVE-2023-36033:Windows DWM Coreライブラリの特権の昇格の脆弱性
CVE-2023-36036:Windows Cloud Files Mini Filterドライバーの特権の昇格の脆弱性
CVE-2023-36025:Windows SmartScreenのセキュリティ機能のバイパスの脆弱性
今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2023-36028 Microsoft Protected Extensible Authentication Protocol (PEAP) のリモートでコードが実行される脆弱性およびCVE-2023-36397 Windows Pragmatic General Multicast(PGM)のリモートでコードが実行される脆弱性は、CVSS基本値が9.8と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性である。これらの脆弱性が存在する製品、および悪用が可能となる条件については、各CVEのページの「よく寄せられる質問」を参照してほしい。セキュリティ更新プログラムが公開されるよりも前に、脆弱性の情報の一般への公開、脆弱性の悪用はないが、脆弱性の特性を鑑み、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨している。
今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2023-36052 Azure CLI RESTコマンドの情報漏えいの脆弱性は、脆弱性の詳細についてブログに公開している。詳細については、Microsoft Security Response Center のブログAzure CLI経由で GitHub Actions Logに流出した認証情報に関するマイクロソフトのガイダンスを参照してほしい。
Microsoft Exchangeの更新プログラムを展開する際のガイダンスは、Microsoft Exchange チームブログReleased: November 2023 Exchange Server Security Updates Released: November 2023 Exchange Server Security Updatesも併せてご参照してほしい。
セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してほしい。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2023年11月セキュリティ更新プログラムリリースノートに掲載されている。
新たに確認した脆弱性に対応した新しいセキュリティ更新プログラムは、以下の通り。
○Windows 11 v23H2、v22H2、v21H2
緊急(リモートでコードの実行が可能)
v23H2、v22H2:KB5032190
v21H2:KB5032192
Windows 11 v22H2、v23H2の更新プログラムであるKB5032190(累積更新プログラム)の構成内容であるが、v23H2では、品質が強化された。主な変更は、次のとおりである。
バージョン22H2 Windows 11のすべての機能強化が含まれている
このリリースでは、追加の問題は文書化されていない
v22H2では、更新プログラムのKB5031455(2023年10月26日にリリース)の一部であった機能強化が含まれている。このKBをインストールする場合、内部OS機能に対するその他のセキュリティの強化が行われる。このリリースについて追加の問題は記録されていない。
○Windows 10 v22H2、v21H2
緊急(リモートでコードの実行が可能)
KB5032189
○Windows Server 2022、23H2(Server Core installationを含む)
緊急(リモートでコードの実行が可能)
KB5032198
○Windows Server 2019、2016(Server Core installationを含む)
緊急(リモートでコードの実行が可能)
Windows Server 2019:KB5032196
Windows Server 2016:KB5032197
○Microsoft Office
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/ja-jp/officeupdates/ を参照してほしい。
○Microsoft SharePoint
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/officeupdates/sharepoint-updates を参照してほしい。
○Microsoft Exchange Server
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/exchange Released: November 2023 Exchange Server Security Updatesを参照してほしい。
○Microsoft .NET
重要(特権の昇格)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dotnet を参照してほしい。
○Microsoft Visual Studio
重要(特権の昇格)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/visualstudio を参照してほしい。
○Microsoft Dynamics 365
重要(なりすまし)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dynamics365 を参照してほしい。
○Microsoft Azure関連のソフトウェア
緊急(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/azure を参照してほしい。
○System Center
重要(特権の昇格)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/system-center を参照してほしい。