ニュース

Windowsの「csrss.exe」にゼロデイ脆弱性 ~2022年7月のMicrosoftセキュリティ更新

深刻度「Critical」の問題も4件、できるだけ早い対処を

2022年7月のセキュリティ更新プログラム

 米Microsoftは7月12日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー、Bリリース)。現在、「Windows Update」や「Microsoft Update Catalog」から入手可能。以下のMicrosoft製品に対しても、セキュリティアップデートが提供されている。

  • AMD CPU Branch
  • Azure Site Recovery
  • Azure Storage Library
  • Microsoft Defender for Endpoint
  • Microsoft Edge (Chromium-based)
  • Microsoft Graphics Component
  • Microsoft Office
  • Open Source Software
  • Role: DNS Server
  • Role: Windows Fax Service
  • Role: Windows Hyper-V
  • Skype for Business and Microsoft Lync
  • Windows Active Directory
  • Windows Advanced Local Procedure Call
  • Windows BitLocker
  • Windows Boot Manager
  • Windows Client/Server Runtime Subsystem
  • Windows Connected Devices Platform Service
  • Windows Credential Guard
  • Windows Fast FAT Driver
  • Windows Fax and Scan Service
  • Windows Group Policy
  • Windows IIS
  • Windows Kernel
  • Windows Media
  • Windows Network File System
  • Windows Performance Counters
  • Windows Point-to-Point Tunneling Protocol
  • Windows Portable Device Enumerator Service
  • Windows Print Spooler Components
  • Windows Remote Procedure Call Runtime
  • Windows Security Account Manager
  • Windows Server Service
  • Windows Shell
  • Windows Storage
  • XBox

 今月のパッチでは、CVE番号ベースで84件の脆弱性が新たに対処された。なかでも以下の4件は深刻度「Critical」と評価されており、できるだけ早い対応が必要。

  • CVE-2022-22038:Remote Procedure Call Runtime Remote Code Execution Vulnerability
  • CVE-2022-30221:Windows Graphics Component Remote Code Execution Vulnerability
  • CVE-2022-22029:Windows Network File System Remote Code Execution Vulnerability
  • CVE-2022-22039:Windows Network File System Remote Code Execution Vulnerability

 また、深刻度は「Important」にとどまるものの、すでに攻撃が確認されている問題が1件ある。最悪の場合システム権限が奪取される可能性があり、警戒が必要だ。

  • CVE-2022-22047:Windows CSRSS(Windows Client/Server Runtime Subsystem)Elevation of Privilege Vulnerability

 そのほかにも、以前の更新プログラムが原因で引き起こされていた以下の問題が解決済みであるとのこと。

Windows 10/11およびWindows Server 2016/2019/2022

 最大深刻度は「緊急」(リモートでコードが実行される)。セキュリティ修正に加え、Cリリースで先行テストされていた機能強化が含まれる。

 なお、「Windows 10 バージョン 2004」以降のWindows 10のOSコアは共通で、「イネーブルメント パッケージ」と呼ばれるパッチで差分機能のみを切り替える仕組みになっている。そのため、更新プログラムの内容は同一だ。

Windows 8.1およびWindows Server 2012/2012 R2

 最大深刻度は「緊急」(リモートでコードが実行される)。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。

  • Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ:KB5015874
  • Windows 8.1/Windows Server 2012 R2 セキュリティのみ:KB5015877
  • Windows Server 2012 マンスリー ロールアップ:KB5015863
  • Windows Server 2012 セキュリティのみ:KB5015875

 なお、企業向けの有償延長サポート「拡張セキュリティ更新プログラム(ESU)」に加入している顧客にはWindows 7とWindows Server 2008/2008 R2向けにもパッチが提供される。

Microsoft Office関連のソフトウェア

 最大深刻度は「重要」(セキュリティ機能のバイパス)。詳細は以下のドキュメントを参照のこと。

Internet Explorer/Microsoft Edge

 「Internet Explorer 11」デスクトップアプリは、ほとんどのWindowsバージョンでサポートを終了した。後継となる「Microsoft Edge」への移行が必要だ。

 「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間7月6日にリリースされたv103.0.1264.49。ゼロデイ脆弱性が修正されているので、かならずアップデートしておきたい。

Skype for Business Server/Microsoft Lync Server

 「Skype for Business Server」「Microsoft Lync Server」では、1件の脆弱性が修正された。

  • CVE-2022-33633(重要:リモートでコードが実行される)

そのほかの製品

 そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。

  • Remote Desktop client for Windows Desktop:1件(緊急:1件)
  • Microsoft Defender for Endpoint for Linux:1件(重要:1件)
  • Azure Storage Queues client library for Python:1件(重要:1件)
  • Azure Storage Queues client library for .NET:1件(重要:1件)
  • Azure Storage Blobs client library for Python:1件(重要:1件)
  • Azure Storage Blobs client library for Java:1件(重要:1件)
  • Azure Storage Blobs client library for .NET:1件(重要:1件)
  • Azure Site Recovery VMWare to Azure:32件件(重要:32件)