ニュース
2022年最初のMicrosoft製品アップデート ~「緊急」9件を含む96件の脆弱性に対処
日本語IMEでカーソルの動きがおかしくなる不具合も修正
2022年1月12日 09:12
米Microsoftは1月11日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー、Bリリース)。現在、「Windows Update」や「Microsoft Update Catalog」から入手可能。以下のMicrosoft製品に対しても、セキュリティアップデートが提供されている。
- .NET Framework
- Microsoft Dynamics
- Microsoft Edge (Chromium-based)
- Microsoft Exchange Server
- Microsoft Graphics Component
- Microsoft Office
- Microsoft Office Excel
- Microsoft Office SharePoint
- Microsoft Office Word
- Microsoft Teams
- Microsoft Windows Codecs Library
- Open Source Software
- Role: Windows Hyper-V
- Tablet Windows User Interface
- Windows Account Control
- Windows Active Directory
- Windows AppContracts API Server
- Windows Application Model
- Windows BackupKey Remote Protocol
- Windows Bind Filter Driver
- Windows Certificates
- Windows Cleanup Manager
- Windows Clipboard User Service
- Windows Cluster Port Driver
- Windows Common Log File System Driver
- Windows Connected Devices Platform Service
- Windows Cryptographic Services
- Windows Defender
- Windows Devices Human Interface
- Windows Diagnostic Hub
- Windows DirectX
- Windows DWM Core Library
- Windows Event Tracing
- Windows Geolocation Service
- Windows HTTP Protocol Stack
- Windows IKE Extension
- Windows Installer
- Windows Kerberos
- Windows Kernel
- Windows Libarchive
- Windows Local Security Authority
- Windows Local Security Authority Subsystem Service
- Windows Modern Execution Server
- Windows Push Notifications
- Windows RDP
- Windows Remote Access Connection Manager
- Windows Remote Desktop
- Windows Remote Procedure Call Runtime
- Windows Resilient File System (ReFS)
- Windows Secure Boot
- Windows Security Center
- Windows StateRepository API
- Windows Storage
- Windows Storage Spaces Controller
- Windows System Launcher
- Windows Task Flow Data Engine
- Windows Tile Data Repository
- Windows UEFI
- Windows UI Immersive Server
- Windows User Profile Service
- Windows User-mode Driver Framework
- Windows Virtual Machine IDE Drive
- Windows Win32K
- Windows Workstation Service Remote Protocol
今月のパッチでは、CVE番号ベースで96件の脆弱性が対処された。ほかにも、オープンソース製品で発見されたセキュリティ問題の修正が取り込まれている。このうち、深刻度「Critical」は9件。
- CVE-2021-22947:Open Source Curl Remote Code Execution Vulnerability
- CVE-2022-21857:Active Directory Domain Services Elevation of Privilege Vulnerability
- CVE-2022-21912:DirectX Graphics Kernel Remote Code Execution Vulnerability
- CVE-2022-21898:DirectX Graphics Kernel Remote Code Execution Vulnerability
- CVE-2022-21917:HEVC Video Extensions Remote Code Execution Vulnerability
- CVE-2022-21907:HTTP Protocol Stack Remote Code Execution Vulnerability
- CVE-2022-21846:Microsoft Exchange Server Remote Code Execution Vulnerability
- CVE-2022-21840:Microsoft Office Remote Code Execution Vulnerability
- CVE-2022-21833:Virtual Machine IDE Drive Elevation of Privilege Vulnerability
今のところ悪用の事例は報告されていないが、「Curl」におけるリモートコード実行の脆弱性(CVE-2021-22947)はすでに内容が公になっている。今後の悪用が予想されるので、できるだけ早い対応を心掛けたい。
また、以下の脆弱性に関しても、内容がすでに明らかにされている。深刻度はいずれも「Important」。
- CVE-2021-36976:Libarchive Remote Code Execution Vulnerability
- CVE-2022-21836:Windows Certificate Spoofing Vulnerability
- CVE-2022-21839:Windows Event Tracing Discretionary Access Control List Denial of Service Vulnerability
- CVE-2022-21874:Windows Security Center API Remote Code Execution Vulnerability
- CVE-2022-21919:Windows User Profile Service Elevation of Privilege Vulnerability
Windows 10/11およびWindows Server 2016/2019/2022
最大深刻度は「緊急」(リモートでコードが実行される)。今回のアップデートにはセキュリティ修正に加え、日本語IMEでカーソルの動きがおかしくなる不具合が対処されているとのこと。
- Windows 11(original release):KB5009566
- Windows 10 バージョン 21H2:KB5009543
- Windows 10 バージョン 21H1:KB5009543
- Windows 10 バージョン 20H2:KB5009543
- Windows Server 2022:KB5009555
- Windows Server 2019:KB5009557
- Windows Server 2016:KB5009546
「Windows 10 バージョン 2004」以降のOSコアは共通になっており、「イネーブルメント パッケージ」と呼ばれるパッチで機能のみを切り替える仕組みになっている。そのため、更新プログラムの内容は同一だ。
Windows 8.1およびWindows Server 2012/2012 R2
最大深刻度は「緊急」(特権の昇格)。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。
- Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ:KB5009624
- Windows 8.1/Windows Server 2012 R2 セキュリティのみ:KB5009595
- Windows Server 2012 マンスリー ロールアップ:KB5009586
- Windows Server 2012 セキュリティのみ:KB5009619
なお、企業向けの有償延長サポート「拡張セキュリティ更新プログラム(ESU)」に加入している顧客にはWindows 7とWindows Server 2008/2008 R2向けにもパッチが提供される。
Microsoft Office関連のソフトウェア
最大深刻度は「緊急」(リモートでコードが実行される)。詳細は以下のドキュメントを参照のこと。
Internet Explorer/Microsoft Edge
「Internet Explorer」に関する脆弱性修正は案内されていない。
「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間1月6日にリリースされたv97.0.1072.55。
Microsoft SharePoint
「Microsoft SharePoint」関連では、2件の脆弱性が修正された。
- CVE-2022-21840(緊急:リモートでコードが実行される)
- CVE-2022-21837(重要:リモートでコードが実行される)
Microsoft Exchange
「Microsoft Exchange Server」関連では、3件の脆弱性が修正された。
- CVE-2022-21846(緊急:リモートでコードが実行される)
- CVE-2022-21855(重要:リモートでコードが実行される)
- CVE-2022-21969(重要:リモートでコードが実行される)
そのほかの製品
そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。
- Remote Desktop client for Windows Desktop:2件(重要:2件)
- Microsoft Dynamics 365 Customer Engagement V9.1:1件(重要:1件)
- Microsoft Dynamics 365 Customer Engagement V9.0:1件(重要:1件)
- HEVC Video Extensions:1件(緊急:1件)
- Dynamics 365 Sales:1件(重要:1件)