マイクロソフトは、2024年5月14日(米国時間)、2024年5月のセキュリティ更新プログラム(月例パッチ)を公開した。該当するソフトウェアはCVEベースで60件である。()内は対応するCVEである。

Windowsタスクスケジューラ(CVE-2024-26238)

Microsoft Windows SCSIクラスシステムファイル(CVE-2024-29994)

Windows共通ログファイルシステムドライバー(CVE-2024-29996)

Windowsモバイルブロードバンド(CVE-2024-29997)

Windowsモバイルブロードバンド(CVE-2024-29998)

Windowsモバイルブロードバンド(CVE-2024-29999)

Windowsモバイルブロードバンド(CVE-2024-30000)

Windowsモバイルブロードバンド(CVE-2024-30001)

Windowsモバイルブロードバンド(CVE-2024-30002)

Windowsモバイルブロードバンド(CVE-2024-30003)

Windowsモバイルブロードバンド(CVE-2024-30004)

Windowsモバイルブロードバンド(CVE-2024-30005)

SQL用MicrosoftWDAC OLE DBプロバイダー(CVE-2024-30006)

Microsoft Brokering File System(CVE-2024-30007)

Windows DWM Coreライブラリ(CVE-2024-30008)

Windowsルーティングとリモートアクセスサービス(RRAS)CVE-2024-30009)

Windows Hyper-V(CVE-2024-30010)

Windows Hyper-V(CVE-2024-30011)

Windowsモバイルブロードバンド(CVE-2024-30012)

Windowsルーティングとリモートアクセスサービス(RRAS)(CVE-2024-30014)

Windowsルーティングとリモートアクセスサービス(RRAS)(CVE-2024-30015)

Windows Cryptographicサービス(CVE-2024-30016)

Windows Hyper-V(CVE-2024-30017)

Windows カーネル(CVE-2024-30018)

Windows DHCPサーバー(CVE-2024-30019)

Windows Cryptographicサービス(CVE-2024-30020)

Windows モバイルブロードバンド(CVE-2024-30021)

Windows ルーティングとリモートアクセスサービス(RRAS)(CVE-2024-30022)

Windows ルーティングとリモートアクセスサービス (RRAS)(CVE-2024-30023)

Windows ルーティングとリモートアクセスサービス(RRAS)(CVE-2024-30024)

Windows 共通ログファイルシステムドライバー(CVE-2024-30025)

Windows NTFS(CVE-2024-30027)

Windows Win32K - ICOMP(CVE-2024-30028)

Windows ルーティングとリモートアクセスサービス(RRAS)(CVE-2024-30029)

Windows Win32K: GRFX(CVE-2024-30030)

Windows CNGキー分離サービス(CVE-2024-30031)

Windows DWM Coreライブラリ(CVE-2024-30032)

Microsoft Windows検索コンポーネント(CVE-2024-30033)

Windows Cloud Files Mini Filter Driver(CVE-2024-30034)

Windows DWM Coreライブラリ(CVE-2024-30035)

Windows 展開サービス(CVE-2024-30036)

Windows 共通ログファイルシステムドライバー(CVE-2024-30037)

Windows Win32K - ICOMP(CVE-2024-30038)

Windows Remote Access Connection Manager(CVE-2024-30039)

Windows MSHTMLプラットフォーム(CVE-2024-30040)

Microsoft Bing(CVE-2024-30041)

Microsoft Office Excel(CVE-2024-30042)

Microsoft Office SharePoint(CVE-2024-30043)

Microsoft Office SharePoint(CVE-2024-30044)

.NETとVisual Studio(CVE-2024-30045)

Visual Studio(CVE-2024-30046)

Microsoft Dynamics 365 Customer Insights(CVE-2024-30047)

Microsoft Dynamics 365 Customer Insights(CVE-2024-30048)

Windows Win32K - ICOMP(CVE-2024-30049)

Windows Mark of the Web (MOTW)(CVE-2024-30050)

Windows DWM Coreライブラリ(CVE-2024-30051)

Azure Migrate(CVE-2024-30053)

Power BI(CVE-2024-30054)

Microsoft Edge (Chromiumベース)(CVE-2024-30055)

Microsoft Intune(CVE-2024-30059)

図1 2024年5月のセキュリティ更新プログラム(月例パッチ)が公開された

マイクロソフトでは、セキュリティ更新プログラム、セキュリティアドバイザリに関する注意点として、以下をあげる。

今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用や脆弱性の詳細が一般へ公開されていることを確認している。ユーザーにおいては、更新プログラムの適用を早急に行ってほしい。脆弱性の詳細は、各CVEのページを参照してほしい。

CVE-2024-30051:Windows DWM Coreライブラリの特権の昇格の脆弱性

CVE-2024-30046:Visual Studioのサービス拒否の脆弱性

CVE-2024-30040:Windows MSHTMLプラットフォームのセキュリティ機能のバイパスの脆弱性

セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してほしい。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2024年5月セキュリティ更新プログラムリリースノートに掲載されている。

新たに確認した脆弱性に対応した新しいセキュリティ更新プログラムは、以下の通り。

○Windows 11 v23H2、v22H2、v21H2

重要(リモートでコードの実行が可能)

v23H2、v22H2:KB5037771

v21H2:KB5037770

Windows 11 v22H2、v23H2の更新プログラムであるKB5037771のハイライトの一部は

VPN接続が失敗する可能性がある既知の問題に対処

である。

○Windows 10 v22H2、v21H2

重要(リモートでコードの実行が可能)

KB5037768

○Windows Server 2022、23H2(Server Core installationを含む)

重要(リモートでコードの実行が可能)

Windows Server 2022:KB5037782

Hotpatch:KB5037848

Windows Server 23H2:KB5036910

○Windows Server 2019、2016(Server Core installationを含む)

重要(リモートでコードの実行が可能)

Windows Server 2019:KB5037765

Windows Server 2016:KB5037763

○Microsoft Office

重要(リモートでコードの実行が可能)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/ja-jp/officeupdates/ を参照してほしい。

○Microsoft SharePoint

緊急(リモートでコードが実行される)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/officeupdates/sharepoint-updates を参照してほしい。

○Microsoft .NET

重要(リモートでコードの実行が可能)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dotnet を参照してほしい。

○Microsoft Visual Studio

重要(リモートでコードの実行が可能)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/visualstudio を参照してほしい。

○Microsoft Dynamics 365

重要(なりすまし)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dynamics365 を参照してほしい。

○Microsoft Azure

重要(なりすまし)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/azure を参照してほしい。