マイクロソフト、5月セキュリティ更新プログラムの公開 - 60件の脆弱性修正

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は5月14日(米国時間)、「Microsoft Releases May 2024 Security Updates｜CISA」において、Microsoftが2024年5月のセキュリティ更新プログラムをリリースしたと報じた。Microsoftはこのセキュリティ更新プログラムにおいて、Windowsなど複数のMicrosoft製品に対する合計60件の脆弱性を修正している。

○脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

2024年5月のセキュリティ更新プログラム - リリースノート - セキュリティ更新プログラム ガイド - Microsoft

Security Update Guide - Microsoft

Security Update Guide - Microsoft

○脆弱性が存在する製品

脆弱性が存在する製品は次のとおり。

.NETとVisual Studio

Azure Migrate

Microsoft Bing

Microsoft Brokering File System

Microsoft Dynamics 365 Customer Insights

Microsoft Edge (Chromiumベース)

Microsoft Intune

Microsoft Office Excel

Microsoft Office SharePoint

Microsoft Windows SCSIクラスシステムファイル

Microsoft Windows 検索コンポーネント

Power BI

SQL 用 Microsoft WDAC OLE DB プロバイダー

Visual Studio

Windows Cloud Files Mini Filter Driver

Windows CNG キー分離サービス

Windows Cryptographicサービス

Windows DHCPサーバー

Windows DWM Coreライブラリー

Windows Hyper-V

Windows Mark of the Web(MOTW)

Windows MSHTMLプラットフォーム

Windows NTFS

Windows Remote Access Connection Manager

Windows Win32K - ICOMP

Windows Win32K: GRFX

Windows カーネル

Windows タスクスケジューラ

Windows モバイルブロードバンド

Windows ルーティングとリモートアクセスサービス(RRAS)

Windows 共通ログ ファイルシステムドライバー

Windows 展開サービス

○対策

修正された脆弱性のうち、Windows MSHTMLプラットフォームの「CVE-2024-30040」および、Windows DWM Coreライブラリーの「CVE-2024-30051」はすでに悪用が確認されており、速やかなアップデートが望まれている。

セキュリティ更新プログラムの対象となる製品は多岐にわたる上、脆弱性のいくつかは深刻度が重要(Important)と評価されており注意が必要。CISAは、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。