ニュース
Microsoftが2023年5月の「Windows Update」を実施 ~複数のゼロデイ脆弱性も
Microsoft製品全体で40件の脆弱性に対処。最高深刻度は「Critical」
2023年5月10日 09:05
米Microsoftは5月9日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー、Bリリース)。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。今月のパッチでは、CVE番号ベースで40件の脆弱性が新たに対処されている。
このうち、すでに悪用の事実が確認されているのは、以下の2件。深刻度はいずれも「Important」で、すべてのバージョンのWindowsに影響する。
- CVE-2023-29336:Win32k の特権の昇格の脆弱性
- CVE-2023-24932:セキュア ブートのセキュリティ機能のバイパスの脆弱性
また、悪用の報告はないが、すでに攻撃手法が明らかにされている深刻度「Critical」の脆弱性が1件存在する。
- CVE-2023-29325:Windows OLE のリモートでコードが実行される脆弱性(Critical)
深刻度が最高の「Critical」と評価されている脆弱性は、「CVE-2023-29325」のほかに5件リストアップされている。
- CVE-2023-24955:Microsoft SharePoint Server のリモートでコードが実行される脆弱性
- CVE-2023-28283:Windows Lightweight Directory Access Protocol (LDAP) のリモートでコードが実行される脆弱性
- CVE-2023-24941:Microsoft ネットワーク ファイル システムのリモートでコードが実行される脆弱性
- CVE-2023-24943:Windows Pragmatic General Multicast (PGM) のリモートでコードが実行される脆弱性
- CVE-2023-24903:Windows Secure Socket トンネリング プロトコル (SSTP) のリモートでコードが実行される脆弱性
Windows 10/11およびWindows Server 2016/2019/2022
最大深刻度は「緊急」(リモートでコードが実行される)。セキュリティ修正に加え、非セキュリティプレビュー更新プログラムの内容が含まれている。
- Windows 11 バージョン 22H2:KB5026372
- Windows 11 バージョン 21H2:KB5026368
- Windows 10 バージョン 22H2:KB5026361
- Windows 10 バージョン 21H2:KB5026361
- Windows 10 バージョン 20H2:KB5026361
- Windows Server 2022:KB5026370
- Windows Server 2019:KB5026362
- Windows Server 2016:KB5026363
なお、Enterprise/Education版「Windows 10 バージョン 20H2」のセキュリティパッチは今月が最後だ。引き続き利用するには、後継バージョンへの移行が必要となるので注意したい。
また、「Windows 10 バージョン 21H2」は来月が最後のセキュリティアップデートとなる。後継バージョンへの移行を急ぐべきだろう。
Windows Server 2012/2012 R2
最大深刻度は「緊急」(リモートでコードが実行される)。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。
- Windows Server 2012 R2 マンスリー ロールアップ:KB5026415
- Windows Server 2012 R2 セキュリティのみ:KB5026409
- Windows Server 2012 マンスリー ロールアップ:KB5026419
- Windows Server 2012 セキュリティのみ:KB5026411
Windows Server 2012/2012 R2のサポートは10月10日まで。有償で拡張セキュリティアップデート(ESU)を購入すれば、2026年10月13日までパッチの提供をうけることができる。
Microsoft Office関連のソフトウェア
最大深刻度は「重要」(リモートでコードが実行される)。詳細は以下のドキュメントを参照のこと。
Microsoft Edge
「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間5月5日にリリースされたv113.0.1774.35。
Microsoft SharePoint
「Microsoft SharePoint」関連の修正は3件。上述の通り、深刻度「Critical」の脆弱性が含まれているので注意したい。
- CVE-2023-24955(緊急:リモートでコードが実行される)
- CVE-2023-24954(重要:情報漏洩)
- CVE-2023-24950(重要:なりすまし)
そのほかの製品
そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。
- Windows Sysmon:1件(重要)
- Visual Studio Code:1件(重要)
- Microsoft Teams:1件(重要)
- Microsoft Remote Desktop:1件(重要)
- AV1 Video Extension:2件(重要)