米Microsoftは4月11日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー、Bリリース)。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。以下のMicrosoft製品に対しても、セキュリティアップデートが提供されている。
- .NET Core
- Azure Machine Learning
- Azure Service Connector
- Microsoft Bluetooth Driver
- Microsoft Defender for Endpoint
- Microsoft Dynamics
- Microsoft Dynamics 365 Customer Voice
- Microsoft Edge (Chromium-based)
- Microsoft Graphics Component
- Microsoft Message Queuing
- Microsoft Office
- Microsoft Office Publisher
- Microsoft Office SharePoint
- Microsoft Office Word
- Microsoft PostScript Printer Driver
- Microsoft Printer Drivers
- Microsoft WDAC OLE DB provider for SQL
- Microsoft Windows DNS
- Visual Studio
- Visual Studio Code
- Windows Active Directory
- Windows ALPC
- Windows Ancillary Function Driver for WinSock
- Windows Boot Manager
- Windows Clip Service
- Windows CNG Key Isolation Service
- Windows Common Log File System Driver
- Windows DHCP Server
- Windows Enroll Engine
- Windows Error Reporting
- Windows Group Policy
- Windows Internet Key Exchange (IKE) Protocol
- Windows Kerberos
- Windows Kernel
- Windows Layer 2 Tunneling Protocol
- Windows Lock Screen
- Windows Netlogon
- Windows Network Address Translation (NAT)
- Windows Network File System
- Windows Network Load Balancing
- Windows NTLM
- Windows PGM
- Windows Point-to-Point Protocol over Ethernet (PPPoE)
- Windows Point-to-Point Tunneling Protocol
- Windows Raw Image Extension
- Windows RDP Client
- Windows Registry
- Windows RPC API
- Windows Secure Boot
- Windows Secure Channel
- Windows Secure Socket Tunneling Protocol (SSTP)
- Windows Transport Security Layer (TLS)
- Windows Win32K
今月のパッチでは、CVE番号ベースで97件の脆弱性が新たに対処された。
悪用の事実が確認されているのは、以下の1件。深刻度は「Important」で、すべてのバージョンのWindowsに影響する。
- CVE-2023-28252:Windows 共通ログ ファイル システム ドライバーの特権の昇格の脆弱性
加えて、以下の7件が深刻度最高の「Critical」と評価おり、とくに警戒を要する。
- CVE-2023-28231:DHCP Server Service のリモートでコードが実行される脆弱性
- CVE-2023-28219:レイヤー 2 トンネリング プロトコルのリモートでコードが実行される脆弱性
- CVE-2023-28220:レイヤー 2 トンネリング プロトコルのリモートでコードが実行される脆弱性
- CVE-2023-21554:Microsoft Message Queuing のリモートでコードが実行される脆弱性
- CVE-2023-28291:Raw Image Extension Remote Code Execution Vulnerability
- CVE-2023-28232:Windows Point-to-Point トンネリング プロトコルのリモートでコードが実行される脆弱性
- CVE-2023-28250:Windows Pragmatic General Multicast (PGM) のリモートでコードが実行される脆弱性
Windows 10/11およびWindows Server 2016/2019/2022
最大深刻度は「緊急」(リモートでコードが実行される)。セキュリティ修正に加え、非セキュリティプレビュー更新プログラムの内容が含まれている。
なお、Enterprise/Education版「Windows 10 バージョン 20H2」のサービス終了が5月9日(米国時間)に予定されている。まだ利用中の場合は、後継バージョンへの移行を早めに計画したい。
また、「Windows 10 バージョン 21H2」のサービス期間も6月13日(米国時間)に満了を迎える。こちらにも注意したい。
Windows Server 2012/2012 R2
最大深刻度は「緊急」(リモートでコードが実行される)。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。
- Windows Server 2012 R2 マンスリー ロールアップ:KB5025285
- Windows Server 2012 R2 セキュリティのみ:KB5025288
- Windows Server 2012 マンスリー ロールアップ:KB5025287
- Windows Server 2012 セキュリティのみ:KB5025272
Windows Server 2012/2012 R2のサポートは10月10日まで。有償で拡張セキュリティアップデート(ESU)を購入すれば、2026年10月13日までパッチの提供をうけることができる。
Microsoft Office関連のソフトウェア
最大深刻度は「重要」(リモートでコードが実行される)。詳細は以下のドキュメントを参照のこと。
なお、「Office 2013」のサポートは終了した。今後はセキュリティパッチが提供されないため、利用は推奨されない。後継製品への移行が必要だ。
Microsoft Edge
「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間4月10日にリリースされたv112.0.1722.34。
Android版でも2件の脆弱性が修正されているので注意したい。
Microsoft Visual Studio
「Microsoft Visual Studio」では、5件の脆弱性が修正された。「Visual Studio 2022」v17.0/17.2/17.4/17.5、「Visual Studio 2019」v16.11、「Visual Studio 2017」v15.9にセキュリティアップデートが提供されている。
Microsoft SharePoint
「Microsoft SharePoint」関連の修正も、1件。
Microsoft Dynamics 365
「Microsoft Dynamics 365」関係では、2件の脆弱性が修正された。
そのほかの製品
そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。
- Visual Studio Code:1件(重要:1件)
- Remote Desktop client for Windows Desktop:1件(重要:1件)
- Raw Image Extension:2件(緊急:1件、重要:1件)
- Microsoft OLE DB Driver 19 for SQL Server:2件(重要:2件)
- Microsoft OLE DB Driver 18 for SQL Server:2件(重要:2件)
- Microsoft ODBC Driver 18 for SQL Server:2件(重要:2件)
- Microsoft ODBC Driver 19 for SQL Server:2件(重要:2件)
- Microsoft Malware Protection Engine:1件(重要:1件)
- Azure Service Connector:1件(重要:1件)
- Azure Machine Learning:1件(重要:1件)
からの記事と詳細 ( Microsoftの2023年4月セキュリティ更新、97件の脆弱性に対処 ~すでに悪用が確認されているものも/「Office 2013」のサポートは終了 - 窓の杜 )
https://ift.tt/ZomiPLb
科学&テクノロジー
No comments:
Post a Comment