Microsoftの2023年4月セキュリティ更新、97件の脆弱性に対処 ～すでに悪用が確認されているものも

2023年4月のセキュリティ更新プログラム

　米Microsoftは4月11日（現地時間）、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした（パッチチューズデー、Bリリース）。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。以下のMicrosoft製品に対しても、セキュリティアップデートが提供されている。

• .NET Core
• Azure Machine Learning
• Azure Service Connector
• Microsoft Bluetooth Driver
• Microsoft Defender for Endpoint
• Microsoft Dynamics
• Microsoft Dynamics 365 Customer Voice
• Microsoft Edge (Chromium-based)
• Microsoft Graphics Component
• Microsoft Message Queuing
• Microsoft Office
• Microsoft Office Publisher
• Microsoft Office SharePoint
• Microsoft Office Word
• Microsoft PostScript Printer Driver
• Microsoft Printer Drivers
• Microsoft WDAC OLE DB provider for SQL
• Microsoft Windows DNS
• Visual Studio
• Visual Studio Code
• Windows Active Directory
• Windows ALPC
• Windows Ancillary Function Driver for WinSock
• Windows Boot Manager
• Windows Clip Service
• Windows CNG Key Isolation Service
• Windows Common Log File System Driver
• Windows DHCP Server
• Windows Enroll Engine
• Windows Error Reporting
• Windows Group Policy
• Windows Internet Key Exchange (IKE) Protocol
• Windows Kerberos
• Windows Kernel
• Windows Layer 2 Tunneling Protocol
• Windows Lock Screen
• Windows Netlogon
• Windows Network Address Translation (NAT)
• Windows Network File System
• Windows Network Load Balancing
• Windows NTLM
• Windows PGM
• Windows Point-to-Point Protocol over Ethernet (PPPoE)
• Windows Point-to-Point Tunneling Protocol
• Windows Raw Image Extension
• Windows RDP Client
• Windows Registry
• Windows RPC API
• Windows Secure Boot
• Windows Secure Channel
• Windows Secure Socket Tunneling Protocol (SSTP)
• Windows Transport Security Layer (TLS)
• Windows Win32K

　今月のパッチでは、CVE番号ベースで97件の脆弱性が新たに対処された。

　悪用の事実が確認されているのは、以下の1件。深刻度は「Important」で、すべてのバージョンのWindowsに影響する。

• CVE-2023-28252：Windows 共通ログ ファイル システム ドライバーの特権の昇格の脆弱性

　加えて、以下の7件が深刻度最高の「Critical」と評価されており、とくに警戒を要する。

• CVE-2023-28231：DHCP Server Service のリモートでコードが実行される脆弱性
• CVE-2023-28219：レイヤー 2 トンネリング プロトコルのリモートでコードが実行される脆弱性
• CVE-2023-28220：レイヤー 2 トンネリング プロトコルのリモートでコードが実行される脆弱性
• CVE-2023-21554：Microsoft Message Queuing のリモートでコードが実行される脆弱性
• CVE-2023-28291：Raw Image Extension Remote Code Execution Vulnerability
• CVE-2023-28232：Windows Point-to-Point トンネリング プロトコルのリモートでコードが実行される脆弱性
• CVE-2023-28250：Windows Pragmatic General Multicast (PGM) のリモートでコードが実行される脆弱性

Windows 10/11およびWindows Server 2016/2019/2022

　最大深刻度は「緊急」（リモートでコードが実行される）。セキュリティ修正に加え、非セキュリティプレビュー更新プログラムの内容が含まれている。

• Windows 11 バージョン 22H2：KB5025239
• Windows 11 バージョン 21H2：KB5025224
• Windows 10 バージョン 22H2：KB5025221
• Windows 10 バージョン 21H2：KB5025221
• Windows 10 バージョン 20H2：KB5025221
• Windows Server 2022：KB5025230
• Windows Server 2019：KB5025229
• Windows Server 2016：KB5025228

　なお、Enterprise/Education版「Windows 10 バージョン 20H2」のサービス終了が5月9日（米国時間）に予定されている。まだ利用中の場合は、後継バージョンへの移行を早めに計画したい。

　また、「Windows 10 バージョン 21H2」のサービス期間も6月13日（米国時間）に満了を迎える。こちらにも注意したい。

Windows Server 2012/2012 R2

　最大深刻度は「緊急」（リモートでコードが実行される）。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。

• Windows Server 2012 R2 マンスリー ロールアップ：KB5025285
• Windows Server 2012 R2 セキュリティのみ：KB5025288
• Windows Server 2012 マンスリー ロールアップ：KB5025287
• Windows Server 2012 セキュリティのみ：KB5025272

　Windows Server 2012/2012 R2のサポートは10月10日まで。有償で拡張セキュリティアップデート（ESU）を購入すれば、2026年10月13日までパッチの提供をうけることができる。

Microsoft Office関連のソフトウェア

　最大深刻度は「重要」（リモートでコードが実行される）。詳細は以下のドキュメントを参照のこと。

• Release notes for Microsoft Office security updates - Office release notes

　なお、「Office 2013」のサポートは終了した。今後はセキュリティパッチが提供されないため、利用は推奨されない。後継製品への移行が必要だ。

Microsoft Edge

　「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間4月10日にリリースされたv112.0.1722.34。

　Android版でも2件の脆弱性が修正されているので注意したい。

• CVE-2023-28284（Moderate：セキュリティ機能のバイパス）
• CVE-2023-28301（Low：なりすまし）

Microsoft Visual Studio

　「Microsoft Visual Studio」では、5件の脆弱性が修正された。「Visual Studio 2022」v17.0/17.2/17.4/17.5、「Visual Studio 2019」v16.11、「Visual Studio 2017」v15.9にセキュリティアップデートが提供されている。

• CVE-2023-28260（重要：リモートでコードが実行される）
• CVE-2023-28262（重要：特権の昇格）
• CVE-2023-28263（重要：情報漏洩）
• CVE-2023-28296（重要：リモートでコードが実行される）
• CVE-2023-28299（重要：なりすまし）

Microsoft SQL Server

　「Microsoft SQL Server」関連では、1件の脆弱性が修正されている。

• CVE-2023-23384（重要：リモートでコードが実行される）

Microsoft SharePoint

　「Microsoft SharePoint」関連の修正も、1件。

• CVE-2023-28288（重要：なりすまし）

Microsoft Dynamics 365

　「Microsoft Dynamics 365」関係では、2件の脆弱性が修正された。

• CVE-2023-28309（重要：なりすまし）
• CVE-2023-28314（重要：なりすまし）

.NET

　「.NET 6.0」「.NET 7.0」では、1件の脆弱性が修正されている。

• CVE-2023-28260（重要：リモートでコードが実行される）

そのほかの製品

　そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。

• Visual Studio Code：1件（重要）
• Remote Desktop client for Windows Desktop：1件（重要）
• Raw Image Extension：2件（緊急：1件、重要）
• Microsoft OLE DB Driver 19 for SQL Server：2件（重要）
• Microsoft OLE DB Driver 18 for SQL Server：2件（重要）
• Microsoft ODBC Driver 18 for SQL Server：2件（重要）
• Microsoft ODBC Driver 17 for SQL Server：2件（重要）
• Microsoft Malware Protection Engine：1件（重要）
• Azure Service Connector：1件（重要）
• Azure Machine Learning：1件（重要）