2022年最初のMicrosoft製品アップデート ～「緊急」9件を含む96件の脆弱性に対処

2022年1月のセキュリティ更新プログラム

　米Microsoftは1月11日（現地時間）、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした（パッチチューズデー、Bリリース）。現在、「Windows Update」や「Microsoft Update Catalog」から入手可能。以下のMicrosoft製品に対しても、セキュリティアップデートが提供されている。

• .NET Framework
• Microsoft Dynamics
• Microsoft Edge (Chromium-based)
• Microsoft Exchange Server
• Microsoft Graphics Component
• Microsoft Office
• Microsoft Office Excel
• Microsoft Office SharePoint
• Microsoft Office Word
• Microsoft Teams
• Microsoft Windows Codecs Library
• Open Source Software
• Role: Windows Hyper-V
• Tablet Windows User Interface
• Windows Account Control
• Windows Active Directory
• Windows AppContracts API Server
• Windows Application Model
• Windows BackupKey Remote Protocol
• Windows Bind Filter Driver
• Windows Certificates
• Windows Cleanup Manager
• Windows Clipboard User Service
• Windows Cluster Port Driver
• Windows Common Log File System Driver
• Windows Connected Devices Platform Service
• Windows Cryptographic Services
• Windows Defender
• Windows Devices Human Interface
• Windows Diagnostic Hub
• Windows DirectX
• Windows DWM Core Library
• Windows Event Tracing
• Windows Geolocation Service
• Windows HTTP Protocol Stack
• Windows IKE Extension
• Windows Installer
• Windows Kerberos
• Windows Kernel
• Windows Libarchive
• Windows Local Security Authority
• Windows Local Security Authority Subsystem Service
• Windows Modern Execution Server
• Windows Push Notifications
• Windows RDP
• Windows Remote Access Connection Manager
• Windows Remote Desktop
• Windows Remote Procedure Call Runtime
• Windows Resilient File System (ReFS)
• Windows Secure Boot
• Windows Security Center
• Windows StateRepository API
• Windows Storage
• Windows Storage Spaces Controller
• Windows System Launcher
• Windows Task Flow Data Engine
• Windows Tile Data Repository
• Windows UEFI
• Windows UI Immersive Server
• Windows User Profile Service
• Windows User-mode Driver Framework
• Windows Virtual Machine IDE Drive
• Windows Win32K
• Windows Workstation Service Remote Protocol

　今月のパッチでは、CVE番号ベースで96件の脆弱性が対処された。ほかにも、オープンソース製品で発見されたセキュリティ問題の修正が取り込まれている。このうち、深刻度「Critical」は9件。

• CVE-2021-22947：Open Source Curl Remote Code Execution Vulnerability
• CVE-2022-21857：Active Directory Domain Services Elevation of Privilege Vulnerability
• CVE-2022-21912：DirectX Graphics Kernel Remote Code Execution Vulnerability
• CVE-2022-21898：DirectX Graphics Kernel Remote Code Execution Vulnerability
• CVE-2022-21917：HEVC Video Extensions Remote Code Execution Vulnerability
• CVE-2022-21907：HTTP Protocol Stack Remote Code Execution Vulnerability
• CVE-2022-21846：Microsoft Exchange Server Remote Code Execution Vulnerability
• CVE-2022-21840：Microsoft Office Remote Code Execution Vulnerability
• CVE-2022-21833：Virtual Machine IDE Drive Elevation of Privilege Vulnerability

　今のところ悪用の事例は報告されていないが、「Curl」におけるリモートコード実行の脆弱性（CVE-2021-22947）はすでに内容が公になっている。今後の悪用が予想されるので、できるだけ早い対応を心掛けたい。

　また、以下の脆弱性に関しても、内容がすでに明らかにされている。深刻度はいずれも「Important」。

• CVE-2021-36976：Libarchive Remote Code Execution Vulnerability
• CVE-2022-21836：Windows Certificate Spoofing Vulnerability
• CVE-2022-21839：Windows Event Tracing Discretionary Access Control List Denial of Service Vulnerability
• CVE-2022-21874：Windows Security Center API Remote Code Execution Vulnerability
• CVE-2022-21919：Windows User Profile Service Elevation of Privilege Vulnerability

Windows 10/11およびWindows Server 2016/2019/2022

　最大深刻度は「緊急」（リモートでコードが実行される）。今回のアップデートにはセキュリティ修正に加え、日本語IMEでカーソルの動きがおかしくなる不具合が対処されているとのこと。

• Windows 11（original release）：KB5009566
• Windows 10 バージョン 21H2：KB5009543
• Windows 10 バージョン 21H1：KB5009543
• Windows 10 バージョン 20H2：KB5009543
• Windows Server 2022：KB5009555
• Windows Server 2019：KB5009557
• Windows Server 2016：KB5009546

　「Windows 10 バージョン 2004」以降のOSコアは共通になっており、「イネーブルメント パッケージ」と呼ばれるパッチで機能のみを切り替える仕組みになっている。そのため、更新プログラムの内容は同一だ。

Windows 8.1およびWindows Server 2012/2012 R2

　最大深刻度は「緊急」（特権の昇格）。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。

• Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ：KB5009624
• Windows 8.1/Windows Server 2012 R2 セキュリティのみ：KB5009595
• Windows Server 2012 マンスリー ロールアップ：KB5009586
• Windows Server 2012 セキュリティのみ：KB5009619

　なお、企業向けの有償延長サポート「拡張セキュリティ更新プログラム（ESU）」に加入している顧客にはWindows 7とWindows Server 2008/2008 R2向けにもパッチが提供される。

Microsoft Office関連のソフトウェア

　最大深刻度は「緊急」（リモートでコードが実行される）。詳細は以下のドキュメントを参照のこと。

• Release notes for Microsoft Office security updates - Office release notes
• January 2022 updates for Microsoft Office

Internet Explorer/Microsoft Edge

　「Internet Explorer」に関する脆弱性修正は案内されていない。

　「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間1月6日にリリースされたv97.0.1072.55。

Microsoft SharePoint

　「Microsoft SharePoint」関連では、2件の脆弱性が修正された。

• CVE-2022-21840（緊急：リモートでコードが実行される）
• CVE-2022-21837（重要：リモートでコードが実行される）

Microsoft Exchange

　「Microsoft Exchange Server」関連では、3件の脆弱性が修正された。

• CVE-2022-21846（緊急：リモートでコードが実行される）
• CVE-2022-21855（重要：リモートでコードが実行される）
• CVE-2022-21969（重要：リモートでコードが実行される）

.NET/ASP.NET

　「Microsoft .NET Framework」関連では、以下の脆弱性が対処されている。

• CVE-2022-21911（重要：サービス拒否）

そのほかの製品

　そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。

• Remote Desktop client for Windows Desktop：2件（重要：2件）
• Microsoft Dynamics 365 Customer Engagement V9.1：1件（重要：1件）
• Microsoft Dynamics 365 Customer Engagement V9.0：1件（重要：1件）
• HEVC Video Extensions：1件（緊急：1件）
• Dynamics 365 Sales：1件（重要：1件）