Windowsなどに深刻な欠陥が17件 ～Microsoft、2022年8月のセキュリティ更新

2022年8月のセキュリティ更新プログラム

　米Microsoftは8月9日（現地時間）、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした（パッチチューズデー、Bリリース）。現在、「Windows Update」や「Microsoft Update Catalog」から入手可能。以下のMicrosoft製品に対しても、セキュリティアップデートが提供されている。

• .NET Core
• Active Directory Domain Services
• Azure Batch Node Agent
• Azure Real Time Operating System
• Azure Site Recovery
• Azure Sphere
• Microsoft ATA Port Driver
• Microsoft Bluetooth Driver
• Microsoft Edge (Chromium-based)
• Microsoft Exchange Server
• Microsoft Office
• Microsoft Office Excel
• Microsoft Office Outlook
• Microsoft Windows Support Diagnostic Tool (MSDT)
• Remote Access Service Point-to-Point Tunneling Protocol
• Role: Windows Fax Service
• Role: Windows Hyper-V
• System Center Operations Manager
• Visual Studio
• Windows Bluetooth Service
• Windows Canonical Display Driver
• Windows Cloud Files Mini Filter Driver
• Windows Defender Credential Guard
• Windows Digital Media
• Windows Error Reporting
• Windows Hello
• Windows Internet Information Services
• Windows Kerberos
• Windows Kernel
• Windows Local Security Authority (LSA)
• Windows Network File System
• Windows Partition Management Driver
• Windows Point-to-Point Tunneling Protocol
• Windows Print Spooler Components
• Windows Secure Boot
• Windows Secure Socket Tunneling Protocol (SSTP)
• Windows Storage Spaces Direct
• Windows Unified Write Filter
• Windows WebBrowser Control
• Windows Win32K

　今月のパッチでは、CVE番号ベースで121件の脆弱性が新たに対処された。なかでも以下の17件は深刻度「Critical」と評価されており、できるだけ早い対応が必要。

• CVE-2022-30133：Windows Point-to-Point Protocol (PPP) Remote Code Execution Vulnerability
• CVE-2022-35744：Windows Point-to-Point Protocol (PPP) Remote Code Execution Vulnerability
• CVE-2022-34691：Active Directory Domain Services Elevation of Privilege Vulnerability
• CVE-2022-33646：Azure Batch Node Agent Elevation of Privilege Vulnerability
• CVE-2022-21980：Microsoft Exchange Server Elevation of Privilege Vulnerability
• CVE-2022-24477：Microsoft Exchange Server Elevation of Privilege Vulnerability
• CVE-2022-24516：Microsoft Exchange Server Elevation of Privilege Vulnerability
• CVE-2022-35752：Windows Secure Socket Tunneling Protocol (SSTP) Remote Code Execution Vulnerability
• CVE-2022-35753：Windows Secure Socket Tunneling Protocol (SSTP) Remote Code Execution Vulnerability
• CVE-2022-35804：SMB Client and Server Remote Code Execution Vulnerability
• CVE-2022-34696：Windows Hyper-V Remote Code Execution Vulnerability
• CVE-2022-34702：Windows Secure Socket Tunneling Protocol (SSTP) Remote Code Execution Vulnerability
• CVE-2022-34714：Windows Secure Socket Tunneling Protocol (SSTP) Remote Code Execution Vulnerability
• CVE-2022-35745：Windows Secure Socket Tunneling Protocol (SSTP) Remote Code Execution Vulnerability
• CVE-2022-35766：Windows Secure Socket Tunneling Protocol (SSTP) Remote Code Execution Vulnerability
• CVE-2022-35767：Windows Secure Socket Tunneling Protocol (SSTP) Remote Code Execution Vulnerability
• CVE-2022-35794：Windows Secure Socket Tunneling Protocol (SSTP) Remote Code Execution Vulnerability

　また、深刻度は「Important」にとどまるものの、すでに内容が広く知られている問題が2件ある。うち1件はセキュリティ攻撃への悪用が確認されており、一刻も早い対応が必要だ。

• CVE-2022-34713：Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability
• CVE-2022-30134：Microsoft Exchange Information Disclosure Vulnerability（悪用を確認）

Windows 10/11およびWindows Server 2016/2019/2022

　最大深刻度は「緊急」（リモートでコードが実行される）。セキュリティ修正に加え、Cリリースで先行テストされていた機能強化が含まれる。

　Windows 11で［スタート］画面が開かない問題も解決されているとのこと。

• Windows 11（original release）：KB5016629
• Windows 10 バージョン 21H2：KB5016616
• Windows 10 バージョン 21H1：KB5016616
• Windows Server 2022：KB5016627
• Windows Server 2019：KB5016623
• Windows Server 2016：KB5016622

　なお、「Windows 10 バージョン 2004」以降のWindows 10のOSコアは共通で、「イネーブルメント パッケージ」と呼ばれるパッチで差分機能のみを切り替える仕組みになっている。そのため、更新プログラムの内容は同一だ。

　また、「Windows Serverバージョン 20H2」のサポートが終了した。アップデートの配信は今回が最後となる。

Windows 8.1およびWindows Server 2012/2012 R2

　最大深刻度は「緊急」（リモートでコードが実行される）。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。

• Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ：KB5016681
• Windows 8.1/Windows Server 2012 R2 セキュリティのみ：KB5016683
• Windows Server 2012 マンスリー ロールアップ：KB5016672
• Windows Server 2012 セキュリティのみ：KB5016684

　なお、企業向けの有償延長サポート「拡張セキュリティ更新プログラム（ESU）」に加入している顧客にはWindows 7とWindows Server 2008/2008 R2向けにもパッチが提供される。

Microsoft Office関連のソフトウェア

　最大深刻度は「重要」（セキュリティ機能のバイパス）。詳細は以下のドキュメントを参照のこと。

• Release notes for Microsoft Office security updates - Office release notes
• Microsoft Office の 2022 年 8 月の更新プログラム

Microsoft Edge

　「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間8月5日にリリースされたv104.0.1293.47。

Microsoft Visual Studio

　「Visual Studio」関連では、4件の脆弱性が修正された。v17.2、v17.0、v16.9、v16.11、v15.9、「Visual Studio 2015 Update 3」、「Visual Studio 2013 Update 5」、「Visual Studio 2012 Update 5」でアップデートが配信されている。

• CVE-2022-35777（重要：リモートでコードが実行される）
• CVE-2022-35825（重要：リモートでコードが実行される）
• CVE-2022-35826（重要：リモートでコードが実行される）
• CVE-2022-35827（重要：リモートでコードが実行される）

Microsoft Exchange

　「Microsoft Exchange Server」では、6件の脆弱性が修正された。ゼロデイ脆弱性への対処が含まれているので、管理者はかならず対応しておきたい。

• CVE-2022-21980（緊急：特権の昇格）
• CVE-2022-24477（緊急：特権の昇格）
• CVE-2022-24516（緊急：特権の昇格）
• CVE-2022-21979（重要：情報漏洩）
• CVE-2022-30134（重要：情報漏洩）
• CVE-2022-34692（重要：情報漏洩）

.NET

　「.NET Core 3.1」「.NET 6.0」では、1件の脆弱性が修正された。

• CVE-2022-34716（重要：なりすまし）

そのほかの製品

　そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。

• System Center Operations Manager：1件（重要：1件）
• Open Management Infrastructure：1件（重要：1件）
• Azure Site Recovery VMWare to Azure：1件（重要：1件）
• Azure Site Recovery VMWare to Azure：34件（重要：34件）
• Azure Real Time Operating System GUIX Studio：8件（重要：8件）
• Azure Batch：1件（緊急：1件）