Microsoft、2022年9月のセキュリティ更新 ～「Microsoft アカウント」でWindows 11にログインできない既知の問題も解決

2022年9月のセキュリティ更新プログラム

　米Microsoftは9月13日（現地時間）、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした（パッチチューズデー、Bリリース）。現在、「Windows Update」や「Microsoft Update Catalog」から入手可能。以下のMicrosoft製品に対しても、セキュリティアップデートが提供されている。

• .NET and Visual Studio
• .NET Framework
• Azure Arc
• Cache Speculation
• HTTP.sys
• Microsoft Dynamics
• Microsoft Edge (Chromium-based)
• Microsoft Graphics Component
• Microsoft Office
• Microsoft Office SharePoint
• Microsoft Office Visio
• Microsoft Windows ALPC
• Microsoft Windows Codecs Library
• Network Device Enrollment Service (NDES)
• Role: DNS Server
• Role: Windows Fax Service
• SPNEGO Extended Negotiation
• Visual Studio Code
• Windows Common Log File System Driver
• Windows Credential Roaming Service
• Windows Defender
• Windows Distributed File System (DFS)
• Windows DPAPI (Data Protection Application Programming Interface)
• Windows Enterprise App Management
• Windows Event Tracing
• Windows Group Policy
• Windows IKE Extension
• Windows Kerberos
• Windows Kernel
• Windows LDAP - Lightweight Directory Access Protocol
• Windows ODBC Driver
• Windows OLE
• Windows Photo Import API
• Windows Print Spooler Components
• Windows Remote Access Connection Manager
• Windows Remote Procedure Call
• Windows TCP/IP
• Windows Transport Security Layer (TLS)

　今月のパッチでは、CVE番号ベースで64件の脆弱性が新たに対処された。なかでも以下の5件は深刻度「Critical」（緊急）と評価されており、警戒を要する。

• CVE-2022-34700：Microsoft Dynamics CRM (on-premises) Remote Code Execution Vulnerability
• CVE-2022-35805：Microsoft Dynamics CRM (on-premises) Remote Code Execution Vulnerability
• CVE-2022-34721：Windows インターネット キー交換 (IKE) プロトコル拡張機能のリモートでコードが実行される脆弱性
• CVE-2022-34722：Windows インターネット キー交換 (IKE) プロトコル拡張機能のリモートでコードが実行される脆弱性
• CVE-2022-34718：Windows TCP/IP のリモートでコードが実行される脆弱性

　また、深刻度は「Important」（重要）にとどまるものの、すでに内容が広く知られている問題が2件ある。とくに「CVE-2022-37969」はセキュリティ攻撃への悪用が確認されており、一刻も早い対応が必要だ。

• CVE-2022-37969：Windows 共通ログ ファイル システム ドライバーの特権の昇格の脆弱性
• CVE-2022-23960：Cache Speculation Restriction Vulnerability（Microsoft製品の脆弱性ではなく、Arm CPUの「Spectre-BHB」脆弱性パッチ）

Windows 10/11およびWindows Server 2016/2019/2022

　最大深刻度は「緊急」（リモートでコードが実行される）。セキュリティ修正に加え、Cリリースで先行テストされていた機能強化が含まれる。

　「Microsoft アカウント」でログインできない既知の問題も解決されているとのこと。

• Windows 11（original release）：KB5017328
• Windows 10 バージョン 21H2：KB5017308
• Windows 10 バージョン 21H1：KB5017308
• Windows Server 2022：KB5017316
• Windows Server 2019：KB5017315
• Windows Server 2016：KB5017305

　なお、「Windows 10 バージョン 2004」以降のWindows 10のOSコアは共通で、「イネーブルメント パッケージ」と呼ばれるパッチで差分機能のみを切り替える仕組みになっている。そのため、更新プログラムの内容は同一だ。

Windows 8.1およびWindows Server 2012/2012 R2

　最大深刻度は「緊急」（リモートでコードが実行される）。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。

• Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ：KB5017367
• Windows 8.1/Windows Server 2012 R2 セキュリティのみ：KB5017365
• Windows Server 2012 マンスリー ロールアップ：KB5017370
• Windows Server 2012 セキュリティのみ：KB5017377

　なお、企業向けの有償延長サポート「拡張セキュリティ更新プログラム（ESU）」に加入している顧客にはWindows 7とWindows Server 2008/2008 R2向けにもパッチが提供される。

Microsoft Office関連のソフトウェア

　最大深刻度は「重要」（セキュリティ機能のバイパス）。詳細は以下のドキュメントを参照のこと。

• Release notes for Microsoft Office security updates - Office release notes
• Microsoft Office の 2022 年 9 月の更新プログラム

Microsoft Edge

　「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間9月5日にリリースされたv105.0.1343.25。

Microsoft Visual Studio/Visual Studio Code

　「Visual Studio」関連では、1件の脆弱性が修正された。「Visual Studio 2022」v17.3、v17.2、v17.0、「Visual Studio 2019」v16.11、v16.9、「Visual Studio 2022 for Mac」v17.3でアップデートが配信されている。

• CVE-2022-38013（重要：サービス拒否）

　また、「Visual Studio Code」でも、1件の脆弱性が修正された。

• CVE-2022-38020（重要：特権の昇格）

Microsoft SharePoint

　「Microsoft SharePoint」関連では、4件の脆弱性が修正された。

• CVE-2022-35823（重要：リモートでコードが実行される）
• CVE-2022-37961（重要：リモートでコードが実行される）
• CVE-2022-38008（重要：リモートでコードが実行される）
• CVE-2022-38009（重要：リモートでコードが実行される）

Microsoft Dynamics CRM

　「Microsoft Dynamics CRM」では、2件の脆弱性が修正された。深刻度が「緊急」となっているので注意したい。

• CVE-2022-34700（緊急：リモートでコードが実行される）
• CVE-2022-35805（緊急：リモートでコードが実行される）

.NET

　「.NET Core 3.1」「.NET 6.0」では、1件の脆弱性が修正された。

• CVE-2022-38013（重要：サービス拒否）

　「Microsoft .NET Framework」の脆弱性修正は、1件。v2.0、v3.0、v3.5、v4.6、v4.7、v4.8系統に影響する。

• CVE-2022-26929（重要：リモートでコードが実行される）

そのほかの製品

　そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。

• Raw Image Extension：1件（重要）
• Microsoft Defender for Endpoint for Mac：1件（重要）
• Azure Guest Configuration：1件（重要）
• Azure ARC：1件（重要）
• AV1 Video Extension：1件（重要）