ニュース

Microsoftの2023年2月セキュリティ更新～ゼロデイ3件、Critical8件を含む78件の修正

Windows、Office、Visual Studio、SQL Server、.NETなどが対象

樽井秀人

2023年2月15日 09:17

2023年2月のセキュリティ更新プログラム

　米Microsoftは2月14日（現地時間）、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした（パッチチューズデー、Bリリース）。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。以下のMicrosoft製品に対しても、セキュリティアップデートが提供されている。

.NET and Visual Studio
.NET Framework
3D Builder
Azure App Service
Azure Data Box Gateway
Azure DevOps
Azure Machine Learning
HoloLens
Internet Storage Name Service
Microsoft Defender for Endpoint
Microsoft Defender for IoT
Microsoft Dynamics
Microsoft Edge (Chromium-based)
Microsoft Exchange Server
Microsoft Graphics Component
Microsoft Office
Microsoft Office OneNote
Microsoft Office Publisher
Microsoft Office SharePoint
Microsoft Office Word
Microsoft PostScript Printer Driver
Microsoft WDAC OLE DB provider for SQL
Microsoft Windows Codecs Library
Power BI
SQL Server
Visual Studio
Windows Active Directory
Windows ALPC
Windows Common Log File System Driver
Windows Cryptographic Services
Windows Distributed File System (DFS)
Windows Fax and Scan Service
Windows HTTP.sys
Windows Installer
Windows iSCSI
Windows Kerberos
Windows MSHTML Platform
Windows ODBC Driver
Windows Protected EAP (PEAP)
Windows SChannel
Windows Win32K

　今月のパッチでは、CVE番号ベースで78件の脆弱性が新たに対処された。

　悪用の事実が確認されているのは、以下の3件。深刻度は「Important」で、すべてのバージョンのWindowsに影響する。

CVE-2023-21823：Windows Graphics Component Remote Code Execution Vulnerability
CVE-2023-21715：Microsoft Publisher Security Features Bypass Vulnerability
CVE-2023-23376：Windows Common Log File System Driver Elevation of Privilege Vulnerability

　深刻度が「Critical」と評価されている、とくに警戒を要する脆弱性は以下の8件。

CVE-2023-21689：Microsoft Protected Extensible Authentication Protocol (PEAP) Remote Code Execution Vulnerability
CVE-2023-21690：Microsoft Protected Extensible Authentication Protocol (PEAP) Remote Code Execution Vulnerability
CVE-2023-21692：Microsoft Protected Extensible Authentication Protocol (PEAP) Remote Code Execution Vulnerability
CVE-2023-21718：Microsoft SQL ODBC Driver Remote Code Execution Vulnerability
CVE-2023-21716：Microsoft Word Remote Code Execution Vulnerability
CVE-2023-23381：Visual Studio Remote Code Execution Vulnerability
CVE-2023-21815：Visual Studio Remote Code Execution Vulnerability
CVE-2023-21803：Windows iSCSI Discovery Service Remote Code Execution Vulnerability

Windows 10/11およびWindows Server 2016/2019/2022

　最大深刻度は「緊急」（リモートでコードが実行される）。セキュリティ修正に加え、Cリリースでの変更が含まれている。

Windows 11 バージョン 22H2：KB5022845
Windows 11 バージョン 21H2：KB5022836
Windows 10 バージョン 22H2：KB5022834
Windows 10 バージョン 21H2：KB5022834
Windows 10 バージョン 20H2：KB5022834
Windows Server 2022：KB5022842
Windows Server 2019：KB5022840
Windows Server 2016：KB5022838

　なお、「Windows 10 バージョン 20H2」Enterprise/Educationのサービス終了が5月9日に予定されている。まだ利用中の場合は、後継バージョンへの移行を早めに計画したい。

Windows Server 2012/2012 R2

　最大深刻度は「緊急」（リモートでコードが実行される）。「セキュリティのみ」と「マンスリーロールアップ」の2種類が用意されているが、可能な限り「マンスリーロールアップ」の適用が推奨されているので注意したい。

Windows Server 2012 R2 マンスリーロールアップ：KB5022899
Windows Server 2012 R2 セキュリティのみ：KB5022894
Windows Server 2012 マンスリーロールアップ：KB5022903
Windows Server 2012 セキュリティのみ：KB5022895

　Windows Server 2012/2012 R2のサポートは10月10日まで。有償で拡張セキュリティアップデート（ESU）を購入すれば、2026年10月13日までパッチの提供をうけることができる。

Microsoft Office関連のソフトウェア

　最大深刻度は「緊急」（リモートでコードが実行される）。詳細は以下のドキュメントを参照のこと。

Microsoft Edge

　「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間2月9日にリリースされたv110.0.1587.41。

　Android版でも、1件の脆弱性が修正されている。

CVE-2023-23374（警告：リモートでコードが実行される）

Microsoft Visual Studio

　「Microsoft Visual Studio」では、5件の脆弱性が修正された。「Visual Studio 2022」v17.0/17.2/17.4、「Visual Studio 2019」v16.11、「Visual Studio 2017」v15.9にセキュリティアップデートが提供されている。