マイクロソフトは、2024年2月13日(米国時間)、2024年2月のセキュリティ更新プログラム(月例パッチ)を公開した。該当するソフトウェアはCVEベースで72件である。()内は対応するCVEである。

Azure DevOps(CVE-2024-20667)

Microsoft Office(CVE-2024-20673)

Azure Stack(CVE-2024-20679)

Windows Hyper-V(CVE-2024-20684)

Skype for Business(CVE-2024-20695)

トラステッドコンピューティングベース(CVE-2024-21304)

Microsoft Defender for Endpoint(CVE-2024-21315)

Microsoft Dynamics(CVE-2024-21327)

Microsoft Dynamics(CVE-2024-21328)

Azure Connected Machineエージェント(CVE-2024-21329)

Windowsカーネル(CVE-2024-21338)

Windows USBシリアルドライバー(CVE-2024-21339)

Windowsカーネル(CVE-2024-21340)

Windowsカーネル(CVE-2024-21341)

ロール:DNSサーバー(CVE-2024-21342)

Windowsインターネット接続の共有(ICS)(CVE-2024-21343)

Windowsインターネット接続の共有(ICS)(CVE-2024-21344)

Windowsカーネル(CVE-2024-21345)

Windows Win32K - ICOMP(CVE-2024-21346)

SQL Server(CVE-2024-21347)

Windowsインターネット接続の共有(ICS)(CVE-2024-21348)

Microsoft ActiveX(CVE-2024-21349)

SQL用Microsoft WDAC OLE DBプロバイダー(CVE-2024-21350)

Windows SmartScreen(CVE-2024-21351)

SQL用Microsoft WDAC OLE DBプロバイダー(CVE-2024-21352)

Microsoft WDAC ODBCドライバー(CVE-2024-21353)

Windowsメッセージキュー(CVE-2024-21354)

Windowsメッセージキュー(CVE-2024-21355)

Windows LDAP - ライトウェイトディレクトリアクセスプロトコル(CVE-2024-21356)

Windowsインターネット接続の共有(ICS)CVE-2024-21357

SQL用Microsoft WDAC OLE DBプロバイダー(CVE-2024-21358)

SQL用Microsoft WDAC OLE DBプロバイダー(CVE-2024-21359)

SQL用Microsoft WDAC OLE DBプロバイダー(CVE-2024-21360)

SQL用Microsoft WDAC OLE DBプロバイダー(CVE-2024-21361)

Windowsカーネル(CVE-2024-21362)

Windowsメッセージキュー(CVE-2024-21363)

Azure Site Recovery(CVE-2024-21364)

SQL用Microsoft WDAC OLE DBプロバイダー(CVE-2024-21365)

SQL用Microsoft WDAC OLE DBプロバイダー(CVE-2024-21366)

SQL用Microsoft WDAC OLE DBプロバイダー(CVE-2024-21367)

SQL用Microsoft WDAC OLE DBプロバイダー(CVE-2024-21368)

SQL用Microsoft WDAC OLE DBプロバイダー(CVE-2024-21369)

SQL用Microsoft WDAC OLE DBプロバイダー(CVE-2024-21370)

Windowsカーネル(CVE-2024-21371)

Windows OLE(CVE-2024-21372)

Android用Microsoft Teams(CVE-2024-21374)

SQL用Microsoft WDAC OLE DBプロバイダー(CVE-2024-21375)

Microsoft Azure Kubernetes Service(CVE-2024-21376)

Microsoft Windows DNS(CVE-2024-21377)

Microsoft Office Outlook(CVE-2024-21378)

Microsoft Office Word(CVE-2024-21379)

Microsoft Dynamics(CVE-2024-21380)

Azure Active Directory(CVE-2024-21381)

Microsoft Office OneNote(CVE-2024-21384)

.NET(CVE-2024-21386)

Microsoft Dynamics(CVE-2024-21389)

SQL用Microsoft WDAC OLE DBプロバイダー(CVE-2024-21391)

Microsoft Dynamics(CVE-2024-21393)

Microsoft Dynamics(CVE-2024-21394)

Microsoft Dynamics(CVE-2024-21395)

Microsoft Dynamics(CVE-2024-21396)

Azure File Sync(CVE-2024-21397)

Microsoft Edge(Chromiumベース)(CVE-2024-21399)

Azure Active Directory(CVE-2024-21401)

Microsoft Office Outlook(CVE-2024-21402)

Microsoft Azure Kubernetes Service(CVE-2024-21403)

.NET(CVE-2024-21404)

Windowsメッセージキュー(CVE-2024-21405)

Microsoft Windows(CVE-2024-21406)

Microsoft Exchange Server(CVE-2024-21410)

インターネットショートカットファイル(CVE-2024-21412)

Microsoft Office(CVE-2024-21413)

SQL用Microsoft WDAC OLE DBプロバイダー(CVE-2024-21420)

図1 2024年2月のセキュリティ更新プログラム(月例パッチ)が公開された

マイクロソフトでは、セキュリティ更新プログラム、セキュリティアドバイザリに関する注意点として、以下をあげる。

今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用や脆弱性の詳細が一般へ公開されていることを確認している。ユーザーにおいては、更新プログラムの適用を早急に行ってほしい。脆弱性の詳細は、各CVEのページを参照してほしい。

CVE-2024-21351:Windows SmartScreenのセキュリティ機能のバイパスの脆弱性

CVE-2024-21412:インターネットショートカットファイルのセキュリティ機能のバイパスの脆弱性

今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は、CVSS 基本値が9.8と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性である。これらの脆弱性が存在する製品、および悪用が可能となる条件については、各CVEのページの「よく寄せられる質問」を参照してほしい。セキュリティ更新プログラムが公開されるよりも前に、脆弱性の情報の一般への公開、脆弱性の悪用はないが、脆弱性の特性を鑑み、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨している。

CVE-2024-21410:Microsoft Exchange Serverの特権の昇格の脆弱性

CVE-2024-21413:Microsoft Outlookのリモートでコードが実行される脆弱性

CVE-2024-21401:Microsoft Entra Jiraシングルサインオン(SSO)プラグインの特権の昇格の脆弱性

Microsoft Exchangeの更新プログラムを展開する際のガイダンスは、Released: 2024 H1 Cumulative Update for Exchange Serverも併せて参照してほしい。

セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してほしい。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2024年2月セキュリティ更新プログラムリリースノートに掲載されている。

新たに確認した脆弱性に対応した新しいセキュリティ更新プログラムは、以下の通り。

○Windows 11 v23H2、v22H2、v21H2

緊急(リモートでコードの実行が可能)

v23HH2、v22H2:KB5034765

v21H2:KB5034766

Windows 11 v22H2、v23H2の更新プログラムであるKB5034765(累積更新プログラム)の構成内容であるが、脆弱性の解消以外に、以下の不具合などが修正された。

新機能として、WindowsのCopilotアイコンがタスクバーのシステムトレイの右側に表示されるように。また、タスクバーの右端にある[デスクトップの表示]の表示は、既定ではオフになる。もう一度オンにするには、[設定]→[個人用設定]→[タスクバー]に移動する。タスクバーを右クリックし、[タスクバーの設定]を選択することでも可能。 注:Windows 11デバイスは、この新しい機能を異なる時間に取得する。これらの新機能の一部は、制御された機能ロールアウト(CFR)を使用してコンシューマーに徐々にロールアウトされる。

この更新プログラムは、Windowsオペレーティングシステムのセキュリティ問題に対処する。

○Windows 10 v22H2、v21H2

緊急(リモートでコードの実行が可能)

KB5034763

○Windows Server 2022、23H2(Server Core installationを含む)

緊急(リモートでコードの実行が可能)

Windows Server 2022:KB5034770

Windows Server 23H2:KB5034769

○Windows Server 2019、2016(Server Core installationを含む)

緊急(リモートでコードの実行が可能)

Windows Server 2019:KB5034768

Windows Server 2016:KB5034767

○Microsoft Office

緊急(リモートでコードの実行が可能)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/ja-jp/officeupdates/ を参照してほしい。

○Microsoft Exchange Server

緊急(特権の昇格)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/exchange、Released: 2024 H1 Cumulative Update for Exchange Serverを参照してほしい。

○Microsoft .NET

重要(サービス拒否)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dotnet を参照してほしい。

○Microsoft Visual Studio

重要(サービス拒否)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/visualstudio を参照してほしい。

○Microsoft Dynamics 365

緊急(情報漏えい)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dynamics365 を参照してほしい。

○Azure DevOps Server

重要(リモートでコードの実行が可能)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/azure/devops を参照してほしい。

○Microsoft Azure

重要(リモートでコードの実行が可能)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/azure を参照してほしい。

○System Center

重要(特権の昇格)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/system-center を参照してほしい。