ニュース

Microsoft、2022年9月のセキュリティ更新～「Microsoft アカウント」でWindows 11にログインできない既知の問題も解決

ゼロデイ脆弱性を含む64件の脆弱性が新たに対処される

樽井秀人

2022年9月14日 09:00

2022年9月のセキュリティ更新プログラム

　米Microsoftは9月13日（現地時間）、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした（パッチチューズデー、Bリリース）。現在、「Windows Update」や「Microsoft Update Catalog」から入手可能。以下のMicrosoft製品に対しても、セキュリティアップデートが提供されている。

.NET and Visual Studio
.NET Framework
Azure Arc
Cache Speculation
HTTP.sys
Microsoft Dynamics
Microsoft Edge (Chromium-based)
Microsoft Graphics Component
Microsoft Office
Microsoft Office SharePoint
Microsoft Office Visio
Microsoft Windows ALPC
Microsoft Windows Codecs Library
Network Device Enrollment Service (NDES)
Role: DNS Server
Role: Windows Fax Service
SPNEGO Extended Negotiation
Visual Studio Code
Windows Common Log File System Driver
Windows Credential Roaming Service
Windows Defender
Windows Distributed File System (DFS)
Windows DPAPI (Data Protection Application Programming Interface)
Windows Enterprise App Management
Windows Event Tracing
Windows Group Policy
Windows IKE Extension
Windows Kerberos
Windows Kernel
Windows LDAP - Lightweight Directory Access Protocol
Windows ODBC Driver
Windows OLE
Windows Photo Import API
Windows Print Spooler Components
Windows Remote Access Connection Manager
Windows Remote Procedure Call
Windows TCP/IP
Windows Transport Security Layer (TLS)

　今月のパッチでは、CVE番号ベースで64件の脆弱性が新たに対処された。なかでも以下の5件は深刻度「Critical」（緊急）と評価されており、警戒を要する。

CVE-2022-34700：Microsoft Dynamics CRM (on-premises) Remote Code Execution Vulnerability
CVE-2022-35805：Microsoft Dynamics CRM (on-premises) Remote Code Execution Vulnerability
CVE-2022-34721：Windows インターネットキー交換 (IKE) プロトコル拡張機能のリモートでコードが実行される脆弱性
CVE-2022-34722：Windows インターネットキー交換 (IKE) プロトコル拡張機能のリモートでコードが実行される脆弱性
CVE-2022-34718：Windows TCP/IP のリモートでコードが実行される脆弱性

　また、深刻度は「Important」（重要）にとどまるものの、すでに内容が広く知られている問題が2件ある。とくに「CVE-2022-37969」はセキュリティ攻撃への悪用が確認されており、一刻も早い対応が必要だ。

CVE-2022-37969：Windows 共通ログファイルシステムドライバーの特権の昇格の脆弱性
CVE-2022-23960：Cache Speculation Restriction Vulnerability（Microsoft製品の脆弱性ではなく、Arm CPUの「Spectre-BHB」脆弱性パッチ）

Windows 10/11およびWindows Server 2016/2019/2022

　最大深刻度は「緊急」（リモートでコードが実行される）。セキュリティ修正に加え、Cリリースで先行テストされていた機能強化が含まれる。

　「Microsoft アカウント」でログインできない既知の問題も解決されているとのこと。

Windows 11（original release）：KB5017328
Windows 10 バージョン 21H2：KB5017308
Windows 10 バージョン 21H1：KB5017308
Windows Server 2022：KB5017316
Windows Server 2019：KB5017315
Windows Server 2016：KB5017305

　なお、「Windows 10 バージョン 2004」以降のWindows 10のOSコアは共通で、「イネーブルメントパッケージ」と呼ばれるパッチで差分機能のみを切り替える仕組みになっている。そのため、更新プログラムの内容は同一だ。

Windows 8.1およびWindows Server 2012/2012 R2

　最大深刻度は「緊急」（リモートでコードが実行される）。「セキュリティのみ」と「マンスリーロールアップ」の2種類が用意されているが、可能な限り「マンスリーロールアップ」の適用が推奨されているので注意したい。

Windows 8.1/Windows Server 2012 R2 マンスリーロールアップ：KB5017367
Windows 8.1/Windows Server 2012 R2 セキュリティのみ：KB5017365
Windows Server 2012 マンスリーロールアップ：KB5017370
Windows Server 2012 セキュリティのみ：KB5017377

　なお、企業向けの有償延長サポート「拡張セキュリティ更新プログラム（ESU）」に加入している顧客にはWindows 7とWindows Server 2008/2008 R2向けにもパッチが提供される。

Microsoft Office関連のソフトウェア

　最大深刻度は「重要」（セキュリティ機能のバイパス）。詳細は以下のドキュメントを参照のこと。

Microsoft Edge

　「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間9月5日にリリースされたv105.0.1343.25。

Microsoft Visual Studio/Visual Studio Code

　「Visual Studio」関連では、1件の脆弱性が修正された。「Visual Studio 2022」v17.3、v17.2、v17.0、「Visual Studio 2019」v16.11、v16.9、「Visual Studio 2022 for Mac」v17.3でアップデートが配信されている。