Microsoft、2022年10月のセキュリティ更新 ～Windows 11 バージョン 22H2に初のパッチ

2022年10月のセキュリティ更新プログラム

　米Microsoftは10月11日（現地時間）、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした（パッチチューズデー、Bリリース）。現在、「Windows Update」や「Microsoft Update Catalog」から入手可能。以下のMicrosoft製品に対しても、セキュリティアップデートが提供されている。

• Active Directory Domain Services
• Azure
• Azure Arc
• Client Server Run-time Subsystem (CSRSS)
• Microsoft Edge (Chromium-based)
• Microsoft Graphics Component
• Microsoft Office
• Microsoft Office SharePoint
• Microsoft Office Word
• Microsoft WDAC OLE DB provider for SQL
• NuGet Client
• Remote Access Service Point-to-Point Tunneling Protocol
• Role: Windows Hyper-V
• Service Fabric
• Visual Studio Code
• Windows Active Directory Certificate Services
• Windows ALPC
• Windows CD-ROM Driver
• Windows COM+ Event System Service
• Windows Connected User Experiences and Telemetry
• Windows CryptoAPI
• Windows Defender
• Windows DHCP Client
• Windows Distributed File System (DFS)
• Windows DWM Core Library
• Windows Event Logging Service
• Windows Group Policy
• Windows Group Policy Preference Client
• Windows Internet Key Exchange (IKE) Protocol
• Windows Kernel
• Windows Local Security Authority (LSA)
• Windows Local Security Authority Subsystem Service (LSASS)
• Windows Local Session Manager (LSM)
• Windows NTFS
• Windows NTLM
• Windows ODBC Driver
• Windows Perception Simulation Service
• Windows Point-to-Point Tunneling Protocol
• Windows Portable Device Enumerator Service
• Windows Print Spooler Components
• Windows Resilient File System (ReFS)
• Windows Secure Channel
• Windows Security Support Provider Interface
• Windows Server Remotely Accessible Registry Keys
• Windows Server Service
• Windows Storage
• Windows TCP/IP
• Windows USB Serial Driver
• Windows Web Account Manager
• Windows Win32K
• Windows WLAN Service
• Windows Workstation Service

　今月のパッチでは、CVE番号ベースで84の脆弱性が新たに対処された。なかでも以下の13件は深刻度「Critical」と評価されており、できるだけ早い対応が必要。

• CVE-2022-37976：Active Directory 証明書サービスの特権の昇格の脆弱性
• CVE-2022-37968：Azure Arc Connect の特権の昇格の脆弱性
• CVE-2022-38048：Microsoft Office のリモート コードが実行される脆弱性
• CVE-2022-41038：Microsoft SharePoint Server のリモートでコードが実行される脆弱性
• CVE-2022-34689：Windows CryptoAPI のなりすましの脆弱性
• CVE-2022-37979：Windows Hyper-V の特権の昇格の脆弱性
• CVE-2022-30198：Windows Point-to-Point トンネリング プロトコルのリモートでコードが実行される脆弱性
• CVE-2022-24504：Windows Point-to-Point トンネリング プロトコルのリモートでコードが実行される脆弱性
• CVE-2022-33634：Windows Point-to-Point トンネリング プロトコルのリモートでコードが実行される脆弱性
• CVE-2022-22035：Windows Point-to-Point トンネリング プロトコルのリモートでコードが実行される脆弱性
• CVE-2022-38047：Windows Point-to-Point トンネリング プロトコルのリモートでコードが実行される脆弱性
• CVE-2022-38000：Windows Point-to-Point トンネリング プロトコルのリモートでコードが実行される脆弱性
• CVE-2022-41081：Windows Point-to-Point トンネリング プロトコルのリモートでコードが実行される脆弱性

　また、深刻度は「Important」にとどまるものの、すでに内容が広く知られている問題が1件ある。

• CVE-2022-41043：Microsoft Office の情報漏えいの脆弱性

　加えて、以下の脆弱性はセキュリティ攻撃への悪用がすでに確認されており、一刻も早い対応が必要だ。

• CVE-2022-41033：Windows COM + イベント システム サービスの特権の昇格の脆弱性（深刻度は「Important」）

Windows 10/11およびWindows Server 2016/2019/2022

　最大深刻度は「緊急」（リモートでコードが実行される）。セキュリティ修正に加え、Cリリースで先行テストされていた機能強化や不具合修正が含まれる。

　「Windows 11 バージョン 22H2」への更新後に「Windows Hello」でサインインできない問題も解決されており、近々セーフガードが解除される見込み。

• Windows 11 バージョン 22H2：KB5018427
• Windows 11 バージョン 21H2：KB5018418
• Windows 10 バージョン 21H2：KB5018410
• Windows 10 バージョン 21H1：KB5018410
• Windows Server 2022：KB5018421
• Windows Server 2019：KB5018419
• Windows Server 2016：KB5018411

Windows 8.1およびWindows Server 2012/2012 R2

　最大深刻度は「緊急」（リモートでコードが実行される）。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。

• Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ：KB5018474
• Windows 8.1/Windows Server 2012 R2 セキュリティのみ：KB5018476
• Windows Server 2012 マンスリー ロールアップ：KB5018457
• Windows Server 2012 セキュリティのみ：KB5018478

　なお、企業向けの有償延長サポート「拡張セキュリティ更新プログラム（ESU）」に加入している顧客にはWindows 7とWindows Server 2008/2008 R2向けにもパッチが提供される。

Microsoft Office関連のソフトウェア

　最大深刻度は「緊急」（リモートでコードが実行される）。詳細は以下のドキュメントを参照のこと。

• Release notes for Microsoft Office security updates - Office release notes
• Microsoft Office の 2022 年 10 月の更新プログラム

Microsoft Edge

　「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間10月3日にリリースされたv106.0.1370.34。

Microsoft Visual Studio

　「Visual Studio」関連では、1件の脆弱性が修正された。v17.3、v17.2、v17.0、v16.11、v16.9、および「Visual Studio 2022 for Mac version 17.3」でアップデートが配信されている。

• CVE-2022-41032（重要：特権の昇格）

Microsoft SharePoint

　「Microsoft SharePoint」関連では、4件の脆弱性が修正された。

• CVE-2022-41038（緊急：リモートでコードが実行される）
• CVE-2022-38053（重要：リモートでコードが実行される）
• CVE-2022-41036（重要：リモートでコードが実行される）
• CVE-2022-41037（重要：リモートでコードが実行される）

Microsoft Exchange

　「Microsoft Exchange Server」では、5件の脆弱性が修正された。

• CVE-2022-21980（緊急：特権の昇格）
• CVE-2022-24477（緊急：特権の昇格）
• CVE-2022-24516（緊急：特権の昇格）
• CVE-2022-21979（重要：情報漏洩）
• CVE-2022-30134（重要：情報漏洩）

.NET

　「.NET Core 3.1」「.NET 6.0」では、1件の脆弱性が修正されている。

• CVE-2022-41032（重要：特権の昇格）

そのほかの製品

　そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。

• Visual Studio Code：2件（重要：2件）
• Jupyter Extension for Visual Studio Code：1件（重要：1件）
• Azure StorSimple 8000 Series：1件（重要：1件）
• Azure Stack Edge：1件（緊急：1件）
• Azure Service Fabric Explorer：1件（重要：1件）
• Azure Arc-enabled Kubernetes cluster 1.8.11：1件（緊急：1件）
• Azure Arc-enabled Kubernetes cluster 1.7.18：1件（緊急：1件）
• Azure Arc-enabled Kubernetes cluster 1.6.19：1件（緊急：1件）
• Azure Arc-enabled Kubernetes cluster 1.5.8：1件（緊急：1件）