Microsoftが2023年5月の「Windows Update」を実施 ～複数のゼロデイ脆弱性も

2023年5月のセキュリティ更新プログラム

　米Microsoftは5月9日（現地時間）、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした（パッチチューズデー、Bリリース）。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。今月のパッチでは、CVE番号ベースで40件の脆弱性が新たに対処されている。

　このうち、すでに悪用の事実が確認されているのは、以下の2件。深刻度はいずれも「Important」で、すべてのバージョンのWindowsに影響する。

• CVE-2023-29336：Win32k の特権の昇格の脆弱性
• CVE-2023-24932：セキュア ブートのセキュリティ機能のバイパスの脆弱性

　また、悪用の報告はないが、すでに攻撃手法が明らかにされている深刻度「Critical」の脆弱性が1件存在する。

• CVE-2023-29325：Windows OLE のリモートでコードが実行される脆弱性（Critical）

　深刻度が最高の「Critical」と評価されている脆弱性は、「CVE-2023-29325」のほかに5件リストアップされている。

• CVE-2023-24955：Microsoft SharePoint Server のリモートでコードが実行される脆弱性
• CVE-2023-28283：Windows Lightweight Directory Access Protocol (LDAP) のリモートでコードが実行される脆弱性
• CVE-2023-24941：Microsoft ネットワーク ファイル システムのリモートでコードが実行される脆弱性
• CVE-2023-24943：Windows Pragmatic General Multicast (PGM) のリモートでコードが実行される脆弱性
• CVE-2023-24903：Windows Secure Socket トンネリング プロトコル (SSTP) のリモートでコードが実行される脆弱性

Windows 10/11およびWindows Server 2016/2019/2022

［利用可能になったらすぐに最新の更新プログラムを入手する］オプションが追加

　最大深刻度は「緊急」（リモートでコードが実行される）。セキュリティ修正に加え、非セキュリティプレビュー更新プログラムの内容が含まれている。

• Windows 11 バージョン 22H2：KB5026372
• Windows 11 バージョン 21H2：KB5026368
• Windows 10 バージョン 22H2：KB5026361
• Windows 10 バージョン 21H2：KB5026361
• Windows 10 バージョン 20H2：KB5026361
• Windows Server 2022：KB5026370
• Windows Server 2019：KB5026362
• Windows Server 2016：KB5026363

　なお、Enterprise/Education版「Windows 10 バージョン 20H2」のセキュリティパッチは今月が最後だ。引き続き利用するには、後継バージョンへの移行が必要となるので注意したい。

　また、「Windows 10 バージョン 21H2」は来月が最後のセキュリティアップデートとなる。後継バージョンへの移行を急ぐべきだろう。

Windows Server 2012/2012 R2

　最大深刻度は「緊急」（リモートでコードが実行される）。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。

• Windows Server 2012 R2 マンスリー ロールアップ：KB5026415
• Windows Server 2012 R2 セキュリティのみ：KB5026409
• Windows Server 2012 マンスリー ロールアップ：KB5026419
• Windows Server 2012 セキュリティのみ：KB5026411

　Windows Server 2012/2012 R2のサポートは10月10日まで。有償で拡張セキュリティアップデート（ESU）を購入すれば、2026年10月13日までパッチの提供をうけることができる。

Microsoft Office関連のソフトウェア

　最大深刻度は「重要」（リモートでコードが実行される）。詳細は以下のドキュメントを参照のこと。

• Release notes for Microsoft Office security updates - Office release notes
• Microsoft Office の 2023 年 5 月の更新プログラム - Microsoft サポート

Microsoft Edge

　「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間5月5日にリリースされたv113.0.1774.35。

Microsoft SharePoint

　「Microsoft SharePoint」関連の修正は3件。上述の通り、深刻度「Critical」の脆弱性が含まれているので注意したい。

• CVE-2023-24955（緊急：リモートでコードが実行される）
• CVE-2023-24954（重要：情報漏洩）
• CVE-2023-24950（重要：なりすまし）

そのほかの製品

　そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。

• Windows Sysmon：1件（重要）
• Visual Studio Code：1件（重要）
• Microsoft Teams：1件（重要）
• Microsoft Remote Desktop：1件（重要）
• AV1 Video Extension：2件（重要）