ニュース

Windows 7/8.1に最後の「Windows Update」 ~Microsoftの2023年1月セキュリティ更新

ゼロデイ脆弱性を含む98件のセキュリティ修正

2023年1月のセキュリティ更新プログラム

 米Microsoftは1月10日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー、Bリリース)。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。以下のMicrosoft製品に対しても、セキュリティアップデートが提供されている。

  • .NET Core
  • 3D Builder
  • Azure Service Fabric Container
  • Microsoft Bluetooth Driver
  • Microsoft Exchange Server
  • Microsoft Graphics Component
  • Microsoft Local Security Authority Server (lsasrv)
  • Microsoft Message Queuing
  • Microsoft Office
  • Microsoft Office SharePoint
  • Microsoft Office Visio
  • Microsoft WDAC OLE DB provider for SQL
  • Visual Studio Code
  • Windows ALPC
  • Windows Ancillary Function Driver for WinSock
  • Windows Authentication Methods
  • Windows Backup Engine
  • Windows Bind Filter Driver
  • Windows BitLocker
  • Windows Boot Manager
  • Windows Credential Manager
  • Windows Cryptographic Services
  • Windows DWM Core Library
  • Windows Error Reporting
  • Windows Event Tracing
  • Windows IKE Extension
  • Windows Installer
  • Windows Internet Key Exchange (IKE) Protocol
  • Windows iSCSI
  • Windows Kernel
  • Windows Layer 2 Tunneling Protocol
  • Windows LDAP - Lightweight Directory Access Protocol
  • Windows Local Security Authority (LSA)
  • Windows Local Session Manager (LSM)
  • Windows Malicious Software Removal Tool
  • Windows Management Instrumentation
  • Windows MSCryptDImportKey
  • Windows NTLM
  • Windows ODBC Driver
  • Windows Overlay Filter
  • Windows Point-to-Point Tunneling Protocol
  • Windows Print Spooler Components
  • Windows Remote Access Service L2TP Driver
  • Windows RPC API
  • Windows Secure Socket Tunneling Protocol (SSTP)
  • Windows Smart Card
  • Windows Task Scheduler
  • Windows Virtual Registry Provider
  • Windows Workstation Service

 今月のパッチでは、CVE番号ベースで98件の脆弱性が新たに対処された。

 悪用の事実が確認されているのは、以下の1件。深刻度は「Important」で、すべてのバージョンのWindowsに影響する。

  • CVE-2023-21674:Windows Advanced Local Procedure Call (ALPC) の特権の昇格に関する脆弱性

 また、以下の脆弱性は攻撃手法がすでに明らかにされている。まだ悪用の事例はないが、できるだけ早い対応が必要だ。深刻度の評価は「Important」。

  • CVE-2023-21549:Windows SMB Witness Service Elevation of Privilege Vulnerability

 深刻度が「Critical」と評価されている、とくに警戒を要する脆弱性は以下の11件。

  • CVE-2023-21561:Microsoft Cryptographic Services の特権の昇格の脆弱性
  • CVE-2023-21551:Microsoft Cryptographic Services の特権の昇格の脆弱性
  • CVE-2023-21743:Microsoft SharePoint Server のセキュリティ機能のバイパスの脆弱性
  • CVE-2023-21730:Microsoft Cryptographic Services の特権の昇格の脆弱性
  • CVE-2023-21543:Windows レイヤー 2 トンネリング プロトコル (L2TP) のリモートでコードが実行される脆弱性
  • CVE-2023-21546:Windows レイヤー 2 トンネリング プロトコル (L2TP) のリモートでコードが実行される脆弱性
  • CVE-2023-21555:Windows レイヤー 2 トンネリング プロトコル (L2TP) のリモートでコードが実行される脆弱性
  • CVE-2023-21556:Windows レイヤー 2 トンネリング プロトコル (L2TP) のリモートでコードが実行される脆弱性
  • CVE-2023-21679:Windows レイヤー 2 トンネリング プロトコル (L2TP) のリモートでコードが実行される脆弱性
  • CVE-2023-21535:Windows Secure Socket トンネリング プロトコル (SSTP) のリモートでコードが実行される脆弱性
  • CVE-2023-21548:Windows Secure Socket トンネリング プロトコル (SSTP) のリモートでコードが実行される脆弱性

 なお、今月は「Windows 7」(ESU)、「Windows 8.1」、「Windows RT」、「Visual Studio 2012」など、多くのサポート終了製品がある。利用中の場合は注意したい。

Windows 10/11およびWindows Server 2016/2019/2022

 最大深刻度は「緊急」(リモートでコードが実行される)。セキュリティ修正に加え、以下の2件の既知の問題が解決されている。

Windows 8.1およびWindows Server 2012/2012 R2

 最大深刻度は「緊急」(リモートでコードが実行される)。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。

  • Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ:KB5022352
  • Windows 8.1/Windows Server 2012 R2 セキュリティのみ:KB5022346
  • Windows Server 2012 マンスリー ロールアップ:KB5022348
  • Windows Server 2012 セキュリティのみ:KB5022343

 なお、「Windows 8.1」と「Windows 7 SP1」(ESU:拡張セキュリティ更新プログラム)に対する更新プログラムは今月が最後だ。後継OSへの移行を急ぎたい。また、Windows Server 2012/R2に関してもサポートの終了が迫っているので注意。

Microsoft Office関連のソフトウェア

 最大深刻度は「重要」(リモートでコードが実行される)。詳細は以下のドキュメントを参照のこと。

Microsoft Edge

 「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間12月16日にリリースされたv108.0.1462.54。

 間もなくセキュリティ修正を含んだ「Edge 109」がリリースされる予定なので、アップデートを怠らないようにしたい。

Microsoft SharePoint

 「Microsoft SharePoint」関連では、3件の脆弱性が修正された。深刻度「緊急」(Critical)の問題も含まれているので注意。

  • CVE-2023-21743(緊急:セキュリティ機能のバイパス)
  • CVE-2023-21742(重要:リモートでコードが実行される)
  • CVE-2023-21744(重要:リモートでコードが実行される)

Microsoft Exchange

 「Microsoft Exchange」関連でも、5件の脆弱性が修正されている。

.NET

 「.NET 6.0」では、1件の脆弱性が修正された。

そのほかの製品

 そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。

  • Windows Malicious Software Removal Tool 32-bit:1件(重要:1件)
  • Windows Malicious Software Removal Tool 64-bit:1件(重要:1件)
  • Visual Studio Code:1件(重要:1件)
  • Azure Service Fabric 9.1:1件(重要:1件)
  • Azure Service Fabric 9.0:1件(重要:1件)
  • Azure Service Fabric 8.2:1件(重要:1件)
  • 3D Builder:14件(重要:14件)