ニュース

Microsoft、2022年5月の月例セキュリティ更新 ~Windows 10 20H2(Home/Pro)のパッチは今回が最後【22:05追記】

ゼロデイ1件を含む74件の脆弱性へ新たに対処

2022年5月11日 09:00

2022年5月のセキュリティ更新プログラム

 米Microsoftは5月11日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー、Bリリース)。現在、「Windows Update」や「Microsoft Update Catalog」から入手可能。以下のMicrosoft製品に対しても、セキュリティアップデートが提供されている。

  • .NET と Visual Studio
  • Microsoft Exchange Server
  • Microsoft Graphics コンポーネント
  • Microsoft Local Security Authority Server (lsasrv)
  • Microsoft Office
  • Microsoft Office Excel
  • Microsoft Office SharePoint
  • Microsoft Windows ALPC
  • リモート デスクトップ クライアント
  • ロール: Windows Fax サービス
  • ロール: Windows Hyper-V
  • セルフホステッド Integration Runtime
  • タブレット用の Windows ユーザー インターフェイス
  • Visual Studio
  • Visual Studio Code
  • Windows Active Directory
  • Windows アドレス帳
  • Windows 認証方法
  • Windows BitLocker
  • Windows クラスター共有ボリューム (CSV)
  • Windows Failover Cluster Automation Server
  • Windows Kerberos
  • Windows カーネル
  • Windows LDAP - ライトウェイト ディレクトリ アクセス プロトコル
  • Windows Media
  • Windows ネットワーク ファイル システム
  • Windows NTFS
  • Windows Point-to-Point Tunneling プロトコル
  • Windows 印刷スプーラー コンポーネント
  • Windows プッシュ通知
  • Windows Remote Access Connection Manager
  • Windows リモート デスクトップ
  • Windows リモート プロシージャ コール ランタイム
  • Windows Server Service
  • Windows Storage Spaces Controller
  • Windows WLAN Auto Config Service

 今月のパッチでは、CVE番号ベースで74件の脆弱性が新たに対処された。「Critical」と評価されている致命的な問題は、以下の7件となっている。

  • CVE-2022-29972:Insight Software: CVE-2022-29972 Magnitude Simba Amazon Redshift ODBC Driver
  • CVE-2022-26923:Active Directory Domain Services Elevation of Privilege Vulnerability
  • CVE-2022-21972:Point-to-Point Tunneling プロトコルのリモートでコードが実行される脆弱性
  • CVE-2022-23270:Point-to-Point Tunneling プロトコルのリモートでコードが実行される脆弱性
  • CVE-2022-22017:リモート デスクトップ クライアントのリモートでコードが実行される脆弱性
  • CVE-2022-26931:Windows Kerberos の特権の昇格の脆弱性
  • CVE-2022-26937:Microsoft ネットワーク ファイル システムのリモートでコードが実行される脆弱性

 また、Windows LSAにおけるスプーフィング(なりすまし)の脆弱性(CVE-2022-26925)は深刻で、悪用の事実も確認されている。深刻度の評価は「Important」にとどまるが、NTLMリレー攻撃と組み合わされた場合に脅威は格段に高まるとして、Microsoftはシステム管理者に対し対策を呼びかけている。

Windows 10/11およびWindows Server 2016/2019/2022

 最大深刻度は「緊急」(リモートでコードが実行される)。セキュリティ修正に加え、Cリリースで実施された機能強化の一部が含まれる。

関連記事

 このパッチで確認されていた「.NET Framework 3.5」アプリのトラブルはすでに解決されているとのこと。

 なお、「Windows 10 バージョン 1909」(すべてのエディション)および「Windows 10 バージョン 20H2」(Home/Proエディション)のアップデートは今回が最後となる。できるだけ早い後継バージョンへの移行が必要だ。

関連記事

[2022年5月11日22:05編集部追記] 2022年5月の月例セキュリティ更新プログラムをWindows 11に適用すると、「.NET Framework」を利用するアプリが起動しなくなるトラブルが一部で報告されています。詳しくは以下の記事をご参照ください。

関連記事

Windows 8.1およびWindows Server 2012/2012 R2

 最大深刻度は「緊急」(リモートでコードが実行される)。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。

  • Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ:KB5014011
  • Windows 8.1/Windows Server 2012 R2 セキュリティのみ:KB5014001
  • Windows Server 2012 マンスリー ロールアップ:KB5014017
  • Windows Server 2012 セキュリティのみ:KB5014018

 なお、企業向けの有償延長サポート「拡張セキュリティ更新プログラム(ESU)」に加入している顧客にはWindows 7とWindows Server 2008/2008 R2向けにもパッチが提供される。

Microsoft Office関連のソフトウェア

 最大深刻度は「重要」(リモートでコードが実行される)。詳細は以下のドキュメントを参照のこと。

Internet Explorer/Microsoft Edge

 「Internet Explorer」に関する脆弱性修正は案内されていない。

 「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間4月28日にリリースされたv101.0.1210.32。

関連記事

 間もなく「Google Chrome」v101.0.4951.64に追随したセキュリティアップデートが行われるはずなので、更新を怠らないようにしたい。

Microsoft SharePoint

 「Microsoft SharePoint」関連の脆弱性は、以下の通り。

  • CVE-2022-29108(重要:リモートでコードが実行される)

Microsoft Exchange Server

 「Microsoft Exchange Server」のセキュリティ更新に関しては、以下の公式ブログを参照のこと。

Microsoft Visual Studio

 「Microsoft Visual Studio」関連では、3件の脆弱性が修正された。

.NET/.NET Framework

 「.NET」では、3件の脆弱性が修正された。

 「Microsoft .NET Framework」では、以下の脆弱性が修正されている。

 なお、「.NET Framework 4.5.2」「.NET Framework 4.6」「.NET Framework 4.6.1」のサポートは2022年4月26日に終了した。

関連記事

そのほかの製品

 そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。

  • Visual Studio Code:1件(重要:1件)
  • Self-hosted Integration Runtime:2件(緊急:2件)
  • Remote Desktop client for Windows Desktop:3件(緊急:1件、重要2件)
  • Azure Synapse:1件(緊急:1件)
  • Azure Data Factory:1件(緊急:1件)