ニュース
Microsoft、2022年3月の月例セキュリティ更新 ~Windows 11にはタスクバーの新機能も
71件の脆弱性に対処。HEVC/VP9ビデオ、Exchangeに致命的な問題
2022年3月9日 09:16
米Microsoftは3月8日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー、Bリリース)。現在、「Windows Update」や「Microsoft Update Catalog」から入手可能。以下のMicrosoft製品に対しても、セキュリティアップデートが提供されている。
- .NET と Visual Studio
- Azure Site Recovery
- Microsoft Defender for Endpoint
- Microsoft Defender for IoT
- Microsoft Edge (Chromium-based)
- Microsoft Exchange Server
- Microsoft Intune
- Microsoft Office Visio
- Microsoft Office Word
- Microsoft Windows ALPC
- Microsoft Windows Codecs Library
- ペイント 3D
- ロール: Windows Hyper-V
- Chrome 用 Skype 拡張機能
- タブレット用の Windows ユーザー インターフェイス
- Visual Studio Code
- Windows Ancillary Function Driver for WinSock
- Windows CD-ROM ドライバー
- Windows Cloud Files Mini Filter Driver
- Windows COM
- Windows 共通ログ ファイル システム ドライバー
- Microsoft DWM Core ライブラリ
- Windows イベント トレーシング
- Windows Fastfat ドライバー
- Windows Fax とスキャン サービス
- Windows HTML プラットフォーム
- Windows インストーラー
- Windows カーネル
- Windows Media
- Windows PDEV
- Windows Point-to-Point Tunneling プロトコル
- Windows 印刷スプーラー コンポーネント
- Windows リモート デスクトップ
- Windows Security Support Provider Interface
- Windows SMB Server
- Windows Update Stack
- XBox
今月のパッチでは、CVE番号ベースで71件の脆弱性が対処された。「Critical」と評価されている致命的な問題は3件。
- CVE-2022-22006:HEVC ビデオ拡張機能のリモートでコードが実行される脆弱性
- CVE-2022-23277:Microsoft Exchange Server のリモートでコードが実行される脆弱性
- CVE-2022-24501:VP9 Video 拡張機能のリモートでコードが実行される脆弱性
また、すでに内容が一般に公開されてしまっている脆弱性が3件ある。攻撃事例はまだ確認されていないとのことだが、悪用の危険が高く警戒を要する。深刻度はすべて「Important」。
- CVE-2022-24512:.NET と Visual Studio のリモート コードが実行される脆弱性
- CVE-2022-21990:リモート デスクトップ クライアントのリモートでコードが実行される脆弱性
- CVE-2022-24459:Windows Fax とスキャン サービスの特権の昇格の脆弱性
Windows 10/11およびWindows Server 2016/2019/2022
最大深刻度は「重要」(リモートでコードが実行される)。セキュリティ修正に加え、タスクバーへの天気表示、ライブサムネイルからの「Microsoft Teams」画面共有、タスクトレイのミュート、サブモニターへの時計表示といった機能改善も含まれる。
また、Windowsデバイスをリセットもしくはリモートワイプ(遠隔消去)する際、[すべて削除する]オプションを選択してもデータが削除されず、残ってしまう問題が解決されているとのこと。
- Windows 11(original release):KB5011493
- Windows 10 バージョン 21H2:KB5011487
- Windows 10 バージョン 21H1:KB5011487
- Windows 10 バージョン 20H2:KB5011487
- Windows Server 2022:KB5011497
- Windows Server 2019:KB5011503
- Windows Server 2016:KB5011495
「Windows 10 バージョン 2004」以降のWindows 10のOSコアは共通で、「イネーブルメント パッケージ」と呼ばれるパッチで差分機能のみを切り替える仕組みになっている。そのため、更新プログラムの内容は同一だ。
Windows 8.1およびWindows Server 2012/2012 R2
最大深刻度は「重要」(特権の昇格)。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。
- Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ:KB5011564
- Windows 8.1/Windows Server 2012 R2 セキュリティのみ:KB5011560
- Windows Server 2012 マンスリー ロールアップ:KB5011535
- Windows Server 2012 セキュリティのみ:KB5011527
なお、企業向けの有償延長サポート「拡張セキュリティ更新プログラム(ESU)」に加入している顧客にはWindows 7とWindows Server 2008/2008 R2向けにもパッチが提供される。
Microsoft Office関連のソフトウェア
最大深刻度は「重要」(リモートでコードが実行される)。詳細は以下のドキュメントを参照のこと。
Internet Explorer/Microsoft Edge
「Internet Explorer」に関する脆弱性修正は案内されていない。
「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間3月3日にリリースされたv99.0.1150.30。これ以降のバージョンになっていれば問題はない。
Microsoft Exchange Server
前述の通り、深刻度「Critical」の問題を含む2件の脆弱性が修正されている。
- CVE-2022-23277(緊急:リモートでコードが実行される)
- CVE-2022-24463(重要:なりすまし)
公式ブログも参照のこと。
Microsoft Defender
なりすまし(spoofing)の脆弱性(CVE-2022-23278)に関するガイダンスが、公式ブログで公表されている。
また、「Microsoft Defender for IoT」では、2件の脆弱性が対処された。
- CVE-2022-23265(重要:リモートでコードが実行される)
- CVE-2022-23266(重要:特権の昇格)
.NET
「.NET 6.0.3」、「.NET 5.0.15」および「.NET 3.1.23」がリリースされた。3件の脆弱性が修正されているとのこと。
そのほかの製品
そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。
- VP9 Video Extensions:2件(緊急:1件、重要1件)
- Visual Studio Code:1件(重要:1件)
- Skype Extension for Chrome:1件(重要:1件)
- Remote Desktop client for Windows Desktop:2件(重要:2件)
- Raw Image Extension:2件(重要:2件)
- ペイント 3D:1件(重要:1件)
- Intune Company Portal for iOS:1件(重要:1件)
- HEVC Video Extensions:6件(緊急:1件、重要5件)
- HEIF Image Extension:1件(重要:1件)
- Azure Site Recovery VMWare to Azure:11件(重要:11件)
- Microsoft Visual Studio 2022 version 17.0:3件(重要:3件)
- Microsoft Visual Studio 2019 version 16.9:3件(重要:3件)
- Microsoft Visual Studio 2019 version 16.7:3件(重要:3件)
- Microsoft Visual Studio 2019 version 16.11:3件(重要:3件)