Microsoft、2024年5月の月例更新 - 60件の脆弱性への対応が行われる
マイクロソフトは、2024年5月14日(米国時間)、2024年5月のセキュリティ更新プログラム(月例パッチ)を公開した。該当するソフトウェアはCVEベースで60件である。()内は対応するCVEである。
Windowsタスクスケジューラ(CVE-2024-26238)
Microsoft Windows SCSIクラスシステムファイル(CVE-2024-29994)
Windows共通ログファイルシステムドライバー(CVE-2024-29996)
Windowsモバイルブロードバンド(CVE-2024-29997)
Windowsモバイルブロードバンド(CVE-2024-29998)
Windowsモバイルブロードバンド(CVE-2024-29999)
Windowsモバイルブロードバンド(CVE-2024-30000)
Windowsモバイルブロードバンド(CVE-2024-30001)
Windowsモバイルブロードバンド(CVE-2024-30002)
Windowsモバイルブロードバンド(CVE-2024-30003)
Windowsモバイルブロードバンド(CVE-2024-30004)
Windowsモバイルブロードバンド(CVE-2024-30005)
SQL用MicrosoftWDAC OLE DBプロバイダー(CVE-2024-30006)
Microsoft Brokering File System(CVE-2024-30007)
Windows DWM Coreライブラリ(CVE-2024-30008)
Windowsルーティングとリモートアクセスサービス(RRAS)CVE-2024-30009)
Windows Hyper-V(CVE-2024-30010)
Windows Hyper-V(CVE-2024-30011)
Windowsモバイルブロードバンド(CVE-2024-30012)
Windowsルーティングとリモートアクセスサービス(RRAS)(CVE-2024-30014)
Windowsルーティングとリモートアクセスサービス(RRAS)(CVE-2024-30015)
Windows Cryptographicサービス(CVE-2024-30016)
Windows Hyper-V(CVE-2024-30017)
Windows カーネル(CVE-2024-30018)
Windows DHCPサーバー(CVE-2024-30019)
Windows Cryptographicサービス(CVE-2024-30020)
Windows モバイルブロードバンド(CVE-2024-30021)
Windows ルーティングとリモートアクセスサービス(RRAS)(CVE-2024-30022)
Windows ルーティングとリモートアクセスサービス (RRAS)(CVE-2024-30023)
Windows ルーティングとリモートアクセスサービス(RRAS)(CVE-2024-30024)
Windows 共通ログファイルシステムドライバー(CVE-2024-30025)
Windows NTFS(CVE-2024-30027)
Windows Win32K - ICOMP(CVE-2024-30028)
Windows ルーティングとリモートアクセスサービス(RRAS)(CVE-2024-30029)
Windows Win32K: GRFX(CVE-2024-30030)
Windows CNGキー分離サービス(CVE-2024-30031)
Windows DWM Coreライブラリ(CVE-2024-30032)
Microsoft Windows検索コンポーネント(CVE-2024-30033)
Windows Cloud Files Mini Filter Driver(CVE-2024-30034)
Windows DWM Coreライブラリ(CVE-2024-30035)
Windows 展開サービス(CVE-2024-30036)
Windows 共通ログファイルシステムドライバー(CVE-2024-30037)
Windows Win32K - ICOMP(CVE-2024-30038)
Windows Remote Access Connection Manager(CVE-2024-30039)
Windows MSHTMLプラットフォーム(CVE-2024-30040)
Microsoft Bing(CVE-2024-30041)
Microsoft Office Excel(CVE-2024-30042)
Microsoft Office SharePoint(CVE-2024-30043)
Microsoft Office SharePoint(CVE-2024-30044)
.NETとVisual Studio(CVE-2024-30045)
Visual Studio(CVE-2024-30046)
Microsoft Dynamics 365 Customer Insights(CVE-2024-30047)
Microsoft Dynamics 365 Customer Insights(CVE-2024-30048)
Windows Win32K - ICOMP(CVE-2024-30049)
Windows Mark of the Web (MOTW)(CVE-2024-30050)
Windows DWM Coreライブラリ(CVE-2024-30051)
Azure Migrate(CVE-2024-30053)
Power BI(CVE-2024-30054)
Microsoft Edge (Chromiumベース)(CVE-2024-30055)
Microsoft Intune(CVE-2024-30059)
図1 2024年5月のセキュリティ更新プログラム(月例パッチ)が公開された
マイクロソフトでは、セキュリティ更新プログラム、セキュリティアドバイザリに関する注意点として、以下をあげる。
今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用や脆弱性の詳細が一般へ公開されていることを確認している。ユーザーにおいては、更新プログラムの適用を早急に行ってほしい。脆弱性の詳細は、各CVEのページを参照してほしい。
CVE-2024-30051:Windows DWM Coreライブラリの特権の昇格の脆弱性
CVE-2024-30046:Visual Studioのサービス拒否の脆弱性
CVE-2024-30040:Windows MSHTMLプラットフォームのセキュリティ機能のバイパスの脆弱性
セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してほしい。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2024年5月セキュリティ更新プログラムリリースノートに掲載されている。
新たに確認した脆弱性に対応した新しいセキュリティ更新プログラムは、以下の通り。
○Windows 11 v23H2、v22H2、v21H2
重要(リモートでコードの実行が可能)
v23H2、v22H2:KB5037771
v21H2:KB5037770
Windows 11 v22H2、v23H2の更新プログラムであるKB5037771のハイライトの一部は
VPN接続が失敗する可能性がある既知の問題に対処
である。
○Windows 10 v22H2、v21H2
重要(リモートでコードの実行が可能)
KB5037768
○Windows Server 2022、23H2(Server Core installationを含む)
重要(リモートでコードの実行が可能)
Windows Server 2022:KB5037782
Hotpatch:KB5037848
Windows Server 23H2:KB5036910
○Windows Server 2019、2016(Server Core installationを含む)
重要(リモートでコードの実行が可能)
Windows Server 2019:KB5037765
Windows Server 2016:KB5037763
○Microsoft Office
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/ja-jp/officeupdates/ を参照してほしい。
○Microsoft SharePoint
緊急(リモートでコードが実行される)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/officeupdates/sharepoint-updates を参照してほしい。
○Microsoft .NET
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dotnet を参照してほしい。
○Microsoft Visual Studio
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/visualstudio を参照してほしい。
○Microsoft Dynamics 365
重要(なりすまし)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dynamics365 を参照してほしい。
○Microsoft Azure
重要(なりすまし)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/azure を参照してほしい。
Windowsタスクスケジューラ(CVE-2024-26238)
Microsoft Windows SCSIクラスシステムファイル(CVE-2024-29994)
Windows共通ログファイルシステムドライバー(CVE-2024-29996)
Windowsモバイルブロードバンド(CVE-2024-29998)
Windowsモバイルブロードバンド(CVE-2024-29999)
Windowsモバイルブロードバンド(CVE-2024-30000)
Windowsモバイルブロードバンド(CVE-2024-30001)
Windowsモバイルブロードバンド(CVE-2024-30002)
Windowsモバイルブロードバンド(CVE-2024-30003)
Windowsモバイルブロードバンド(CVE-2024-30004)
Windowsモバイルブロードバンド(CVE-2024-30005)
SQL用MicrosoftWDAC OLE DBプロバイダー(CVE-2024-30006)
Microsoft Brokering File System(CVE-2024-30007)
Windows DWM Coreライブラリ(CVE-2024-30008)
Windowsルーティングとリモートアクセスサービス(RRAS)CVE-2024-30009)
Windows Hyper-V(CVE-2024-30010)
Windows Hyper-V(CVE-2024-30011)
Windowsモバイルブロードバンド(CVE-2024-30012)
Windowsルーティングとリモートアクセスサービス(RRAS)(CVE-2024-30014)
Windowsルーティングとリモートアクセスサービス(RRAS)(CVE-2024-30015)
Windows Cryptographicサービス(CVE-2024-30016)
Windows Hyper-V(CVE-2024-30017)
Windows カーネル(CVE-2024-30018)
Windows DHCPサーバー(CVE-2024-30019)
Windows Cryptographicサービス(CVE-2024-30020)
Windows モバイルブロードバンド(CVE-2024-30021)
Windows ルーティングとリモートアクセスサービス(RRAS)(CVE-2024-30022)
Windows ルーティングとリモートアクセスサービス (RRAS)(CVE-2024-30023)
Windows ルーティングとリモートアクセスサービス(RRAS)(CVE-2024-30024)
Windows 共通ログファイルシステムドライバー(CVE-2024-30025)
Windows NTFS(CVE-2024-30027)
Windows Win32K - ICOMP(CVE-2024-30028)
Windows ルーティングとリモートアクセスサービス(RRAS)(CVE-2024-30029)
Windows Win32K: GRFX(CVE-2024-30030)
Windows CNGキー分離サービス(CVE-2024-30031)
Windows DWM Coreライブラリ(CVE-2024-30032)
Microsoft Windows検索コンポーネント(CVE-2024-30033)
Windows Cloud Files Mini Filter Driver(CVE-2024-30034)
Windows DWM Coreライブラリ(CVE-2024-30035)
Windows 展開サービス(CVE-2024-30036)
Windows 共通ログファイルシステムドライバー(CVE-2024-30037)
Windows Win32K - ICOMP(CVE-2024-30038)
Windows Remote Access Connection Manager(CVE-2024-30039)
Windows MSHTMLプラットフォーム(CVE-2024-30040)
Microsoft Bing(CVE-2024-30041)
Microsoft Office Excel(CVE-2024-30042)
Microsoft Office SharePoint(CVE-2024-30043)
Microsoft Office SharePoint(CVE-2024-30044)
.NETとVisual Studio(CVE-2024-30045)
Visual Studio(CVE-2024-30046)
Microsoft Dynamics 365 Customer Insights(CVE-2024-30047)
Microsoft Dynamics 365 Customer Insights(CVE-2024-30048)
Windows Win32K - ICOMP(CVE-2024-30049)
Windows Mark of the Web (MOTW)(CVE-2024-30050)
Windows DWM Coreライブラリ(CVE-2024-30051)
Azure Migrate(CVE-2024-30053)
Power BI(CVE-2024-30054)
Microsoft Edge (Chromiumベース)(CVE-2024-30055)
Microsoft Intune(CVE-2024-30059)
図1 2024年5月のセキュリティ更新プログラム(月例パッチ)が公開された
マイクロソフトでは、セキュリティ更新プログラム、セキュリティアドバイザリに関する注意点として、以下をあげる。
今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用や脆弱性の詳細が一般へ公開されていることを確認している。ユーザーにおいては、更新プログラムの適用を早急に行ってほしい。脆弱性の詳細は、各CVEのページを参照してほしい。
CVE-2024-30051:Windows DWM Coreライブラリの特権の昇格の脆弱性
CVE-2024-30046:Visual Studioのサービス拒否の脆弱性
CVE-2024-30040:Windows MSHTMLプラットフォームのセキュリティ機能のバイパスの脆弱性
セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してほしい。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2024年5月セキュリティ更新プログラムリリースノートに掲載されている。
新たに確認した脆弱性に対応した新しいセキュリティ更新プログラムは、以下の通り。
○Windows 11 v23H2、v22H2、v21H2
重要(リモートでコードの実行が可能)
v23H2、v22H2:KB5037771
v21H2:KB5037770
Windows 11 v22H2、v23H2の更新プログラムであるKB5037771のハイライトの一部は
VPN接続が失敗する可能性がある既知の問題に対処
である。
○Windows 10 v22H2、v21H2
重要(リモートでコードの実行が可能)
KB5037768
○Windows Server 2022、23H2(Server Core installationを含む)
重要(リモートでコードの実行が可能)
Windows Server 2022:KB5037782
Hotpatch:KB5037848
Windows Server 23H2:KB5036910
○Windows Server 2019、2016(Server Core installationを含む)
重要(リモートでコードの実行が可能)
Windows Server 2019:KB5037765
Windows Server 2016:KB5037763
○Microsoft Office
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/ja-jp/officeupdates/ を参照してほしい。
○Microsoft SharePoint
緊急(リモートでコードが実行される)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/officeupdates/sharepoint-updates を参照してほしい。
○Microsoft .NET
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dotnet を参照してほしい。
○Microsoft Visual Studio
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/visualstudio を参照してほしい。
○Microsoft Dynamics 365
重要(なりすまし)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dynamics365 を参照してほしい。
○Microsoft Azure
重要(なりすまし)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/azure を参照してほしい。