Microsoft、2022年4月の月例セキュリティ更新 ～Windowsのゼロデイ脆弱性などに対処

2022年4月のセキュリティ更新プログラム

　米Microsoftは4月12日（現地時間）、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした（パッチチューズデー、Bリリース）。現在、「Windows Update」や「Microsoft Update Catalog」から入手可能。以下のMicrosoft製品に対しても、セキュリティアップデートが提供されている。

• .NET Framework
• Active Directory Domain Services
• Azure SDK
• Azure Site Recovery
• LDAP - ライトウェイト ディレクトリ アクセス プロトコル
• Microsoft Bluetooth ドライバー
• Microsoft Dynamics
• Microsoft Edge (Chromium ベース)
• Microsoft Graphics コンポーネント
• Microsoft Local Security Authority Server (lsasrv)
• Microsoft Office Excel
• Microsoft Office SharePoint
• Microsoft Windows ALPC
• Microsoft Windows Codecs Library
• Microsoft Windows Media Foundation
• Power BI
• ロール: DNS サーバー
• ロール: Windows Hyper-V
• Skype for Business
• Visual Studio
• Visual Studio Code
• Windows Ancillary Function Driver for WinSock
• Windows App Store
• Windows AppX パッケージ マネージャー
• Windows Cluster Client Failover
• Windows クラスター共有ボリューム (CSV)
• Windows 共通ログ ファイル システム ドライバー
• Windows Defender
• Microsoft DWM Core ライブラリ
• Windows Endpoint Configuration Manager
• Windows Fax Compose Form
• Windows Feedback Hub
• Windows エクスプローラー
• Windows File Server
• Windows インストーラー
• Windows iSCSI Target Service
• Windows Kerberos
• Windows カーネル
• Windows Local Security Authority Subsystem Service
• Windows Media
• Windows ネットワーク ファイル システム
• Windows PowerShell
• Windows 印刷スプーラー コンポーネント
• Windows RDP
• Windows リモート プロシージャ コール ランタイム
• Windows schannel
• Windows SMB
• Windows Telephony Server
• Windows Upgrade Assistant
• Windows User Profile Service
• Windows Win32K
• Windows Work Folder Service
• YARP reverse proxy

　今月のパッチでは、CVE番号ベースで128件の脆弱性が新たに対処された。「Critical」と評価されている致命的な問題は以下の10件。

• CVE-2022-23259：Microsoft Dynamics 365 (オンプレミス) のリモートでコードが実行される脆弱性
• CVE-2022-26809：リモート プロシージャ コール ランタイムのリモートでコードが実行される脆弱性
• CVE-2022-22008：Windows Hyper-V のリモートでコードが実行される脆弱性
• CVE-2022-23257：Windows Hyper-V のリモートでコードが実行される脆弱性
• CVE-2022-24537：Windows Hyper-V のリモートでコードが実行される脆弱性
• CVE-2022-26919：Windows LDAP のリモートでコードが実行される脆弱性
• CVE-2022-24491：Microsoft ネットワーク ファイル システムのリモートでコードが実行される脆弱性
• CVE-2022-24497：Microsoft ネットワーク ファイル システムのリモートでコードが実行される脆弱性
• CVE-2022-24541：Windows Server Service のリモートでコードが実行される脆弱性
• CVE-2022-24500：Windows SMB のリモートでコードが実行される脆弱性

　また、深刻度の評価は「Important」に留まるものの、すでに攻撃事例が確認されている脆弱性が1件、攻撃は確認されていないもののすでに内容が一般に公開されてしまっている脆弱性が1件ある。

• CVE-2022-24521：Windows 共通ログ ファイル システム ドライバーの特権の昇格の脆弱性（悪用の事実を確認済み）
• CVE-2022-26904：Windows User Profile Service の特権の昇格の脆弱性（内容が公開。悪用される可能性が高い）

Windows 10/11およびWindows Server 2016/2019/2022

　最大深刻度は「緊急」（リモートでコードが実行される）。セキュリティ修正に加え、Cリリースで実施された機能強化の一部が含まれる。

　また、「Windows 10 バージョン 1909」（すべてのエディション）および「Windows 10 バージョン 20H2」（Home/Proエディション）のサービスは5月10日に終了となる。できるだけ早い後継バージョンへの移行が必要だ。

• Windows 11（original release）：KB5012592
• Windows 10 バージョン 21H2：KB5012599
• Windows 10 バージョン 21H1：KB5012599
• Windows 10 バージョン 20H2：KB5012599
• Windows Server 2022：KB5012604
• Windows Server 2019：KB5012647
• Windows Server 2016：KB5012596

　「Windows 10 バージョン 2004」以降のWindows 10のOSコアは共通で、「イネーブルメント パッケージ」と呼ばれるパッチで差分機能のみを切り替える仕組みになっている。そのため、更新プログラムの内容は同一だ。

Windows 8.1およびWindows Server 2012/2012 R2

　最大深刻度は「緊急」（リモートでコードが実行される）。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。

• Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ：KB5012670
• Windows 8.1/Windows Server 2012 R2 セキュリティのみ：KB5012639
• Windows Server 2012 マンスリー ロールアップ：KB5012650
• Windows Server 2012 セキュリティのみ：KB5012666

　なお、企業向けの有償延長サポート「拡張セキュリティ更新プログラム（ESU）」に加入している顧客にはWindows 7とWindows Server 2008/2008 R2向けにもパッチが提供される。

Microsoft Office関連のソフトウェア

　最大深刻度は「重要」（リモートでコードが実行される）。詳細は以下のドキュメントを参照のこと。

• Release notes for Microsoft Office security updates - Office release notes
• Microsoft Officeの 2022 年 4 月の更新プログラム

Internet Explorer/Microsoft Edge

　「Internet Explorer」に関する脆弱性修正は案内されていない。

　「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間4月7日にリリースされたv100.0.1185.36。

　先日「Chromium」（Google Chrome）にセキュリティアップデートがあったが、それに追従するセキュリティパッチが近日中にリリースされる見込み。適用を怠らないようにしたい。

Microsoft SharePoint

　「Microsoft SharePoint」関連では、以下の脆弱性が修正された。

• CVE-2022-24472（重要：なりすまし）
• CVE-2022-26901（重要：リモートでコードが実行される）

.NET

　「Microsoft .NET Framework」では、以下の脆弱性が修正されている。

• CVE-2022-26832（重要：サービス拒否）

　なお、「.NET Framework 4.5.2」「.NET Framework 4.6」「.NET Framework 4.6.1」のサポートは2022年4月26日に終了する。今回が最後のセキュリティパッチとなるので注意したい。

そのほかの製品

　そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。

• YARP 1.1RC：1件（重要：1件）
• YARP 1.0：1件（重要：1件）
• Windows Upgrade Assistant：1件（重要：1件）
• Visual Studio Code：1件（重要：1件）
• Visual Studio 2019 for Mac version 8.10：1件（重要：1件）
• Skype for Business Server 2019 CU6：2件（重要：2件）
• Skype for Business Server 2015 CU12：2件（重要：2件）
• Microsoft Visual Studio 2022 version 17.1：3件（重要：3件）
• Microsoft Visual Studio 2022 version 17.0：3件（重要：3件）
• Microsoft Visual Studio 2019 version 16.11：3件（重要：3件）
• Microsoft Visual Studio 2019 version 16.9：3件（重要：3件）
• Microsoft Visual Studio 2019 version 16.7：3件（重要：3件）
• Microsoft Visual Studio 2017 version 15.9：3件（重要：3件）
• Microsoft On-Premises Data Gateway：1件（重要：1件）
• Microsoft Malware Protection Engine：1件（重要：1件）
• Microsoft Lync Server 2013 CU10：1件（重要：1件）
• Microsoft Dynamics 365：1件（緊急：1件）
• HEVC Video Extensions：1件（重要：1件）
• Azure Site Recovery VMWare to Azure：3件（重要：3件）
• Azure SDK for .Net：1件（重要：1件）