Windows 7/8.1に最後の「Windows Update」 ～Microsoftの2023年1月セキュリティ更新

2023年1月のセキュリティ更新プログラム

　米Microsoftは1月10日（現地時間）、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした（パッチチューズデー、Bリリース）。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。以下のMicrosoft製品に対しても、セキュリティアップデートが提供されている。

• .NET Core
• 3D Builder
• Azure Service Fabric Container
• Microsoft Bluetooth Driver
• Microsoft Exchange Server
• Microsoft Graphics Component
• Microsoft Local Security Authority Server (lsasrv)
• Microsoft Message Queuing
• Microsoft Office
• Microsoft Office SharePoint
• Microsoft Office Visio
• Microsoft WDAC OLE DB provider for SQL
• Visual Studio Code
• Windows ALPC
• Windows Ancillary Function Driver for WinSock
• Windows Authentication Methods
• Windows Backup Engine
• Windows Bind Filter Driver
• Windows BitLocker
• Windows Boot Manager
• Windows Credential Manager
• Windows Cryptographic Services
• Windows DWM Core Library
• Windows Error Reporting
• Windows Event Tracing
• Windows IKE Extension
• Windows Installer
• Windows Internet Key Exchange (IKE) Protocol
• Windows iSCSI
• Windows Kernel
• Windows Layer 2 Tunneling Protocol
• Windows LDAP - Lightweight Directory Access Protocol
• Windows Local Security Authority (LSA)
• Windows Local Session Manager (LSM)
• Windows Malicious Software Removal Tool
• Windows Management Instrumentation
• Windows MSCryptDImportKey
• Windows NTLM
• Windows ODBC Driver
• Windows Overlay Filter
• Windows Point-to-Point Tunneling Protocol
• Windows Print Spooler Components
• Windows Remote Access Service L2TP Driver
• Windows RPC API
• Windows Secure Socket Tunneling Protocol (SSTP)
• Windows Smart Card
• Windows Task Scheduler
• Windows Virtual Registry Provider
• Windows Workstation Service

　今月のパッチでは、CVE番号ベースで98件の脆弱性が新たに対処された。

　悪用の事実が確認されているのは、以下の1件。深刻度は「Important」で、すべてのバージョンのWindowsに影響する。

• CVE-2023-21674：Windows Advanced Local Procedure Call (ALPC) の特権の昇格に関する脆弱性

　また、以下の脆弱性は攻撃手法がすでに明らかにされている。まだ悪用の事例はないが、できるだけ早い対応が必要だ。深刻度の評価は「Important」。

• CVE-2023-21549：Windows SMB Witness Service Elevation of Privilege Vulnerability

　深刻度が「Critical」と評価されている、とくに警戒を要する脆弱性は以下の11件。

• CVE-2023-21561：Microsoft Cryptographic Services の特権の昇格の脆弱性
• CVE-2023-21551：Microsoft Cryptographic Services の特権の昇格の脆弱性
• CVE-2023-21743：Microsoft SharePoint Server のセキュリティ機能のバイパスの脆弱性
• CVE-2023-21730：Microsoft Cryptographic Services の特権の昇格の脆弱性
• CVE-2023-21543：Windows レイヤー 2 トンネリング プロトコル (L2TP) のリモートでコードが実行される脆弱性
• CVE-2023-21546：Windows レイヤー 2 トンネリング プロトコル (L2TP) のリモートでコードが実行される脆弱性
• CVE-2023-21555：Windows レイヤー 2 トンネリング プロトコル (L2TP) のリモートでコードが実行される脆弱性
• CVE-2023-21556：Windows レイヤー 2 トンネリング プロトコル (L2TP) のリモートでコードが実行される脆弱性
• CVE-2023-21679：Windows レイヤー 2 トンネリング プロトコル (L2TP) のリモートでコードが実行される脆弱性
• CVE-2023-21535：Windows Secure Socket トンネリング プロトコル (SSTP) のリモートでコードが実行される脆弱性
• CVE-2023-21548：Windows Secure Socket トンネリング プロトコル (SSTP) のリモートでコードが実行される脆弱性

　なお、今月は「Windows 7」（ESU）、「Windows 8.1」、「Windows RT」、「Visual Studio 2012」など、多くのサポート終了製品がある。利用中の場合は注意したい。

Windows 10/11およびWindows Server 2016/2019/2022

　最大深刻度は「緊急」（リモートでコードが実行される）。セキュリティ修正に加え、以下の2件の既知の問題が解決されている。

• Windows 11 バージョン 22H2：KB5022303
• Windows 11 バージョン 21H2：KB5022287
• Windows 10 バージョン 22H2：KB5022282
• Windows 10 バージョン 21H2：KB5022282
• Windows Server 2022：KB5022291
• Windows Server 2019：KB5022286
• Windows Server 2016：KB5022289

Windows 8.1およびWindows Server 2012/2012 R2

　最大深刻度は「緊急」（リモートでコードが実行される）。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。

• Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ：KB5022352
• Windows 8.1/Windows Server 2012 R2 セキュリティのみ：KB5022346
• Windows Server 2012 マンスリー ロールアップ：KB5022348
• Windows Server 2012 セキュリティのみ：KB5022343

　なお、「Windows 8.1」と「Windows 7 SP1」（ESU：拡張セキュリティ更新プログラム）に対する更新プログラムは今月が最後だ。後継OSへの移行を急ぎたい。また、Windows Server 2012/R2に関してもサポートの終了が迫っているので注意。

Microsoft Office関連のソフトウェア

　最大深刻度は「重要」（リモートでコードが実行される）。詳細は以下のドキュメントを参照のこと。

• Release notes for Microsoft Office security updates - Office release notes
• January 2023 updates for Microsoft Office - Microsoft サポート

Microsoft Edge

　「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間12月16日にリリースされたv108.0.1462.54。

　間もなくセキュリティ修正を含んだ「Edge 109」がリリースされる予定なので、アップデートを怠らないようにしたい。

Microsoft SharePoint

　「Microsoft SharePoint」関連では、3件の脆弱性が修正された。深刻度「緊急」（Critical）の問題も含まれているので注意。

• CVE-2023-21743（緊急：セキュリティ機能のバイパス）
• CVE-2023-21742（重要：リモートでコードが実行される）
• CVE-2023-21744（重要：リモートでコードが実行される）

Microsoft Exchange

　「Microsoft Exchange」関連でも、5件の脆弱性が修正されている。

• CVE-2023-21745（重要：なりすまし）
• CVE-2023-21761（重要：情報漏洩）
• CVE-2023-21762（重要：なりすまし）
• CVE-2023-21763（重要：特権の昇格）
• CVE-2023-21764（重要：特権の昇格）

.NET

　「.NET 6.0」では、1件の脆弱性が修正された。

• CVE-2023-21538（重要：サービス拒否）

そのほかの製品

　そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。

• Windows Malicious Software Removal Tool 32-bit：1件（重要：1件）
• Windows Malicious Software Removal Tool 64-bit：1件（重要：1件）
• Visual Studio Code：1件（重要：1件）
• Azure Service Fabric 9.1：1件（重要：1件）
• Azure Service Fabric 9.0：1件（重要：1件）
• Azure Service Fabric 8.2：1件（重要：1件）
• 3D Builder：14件（重要：14件）