ニュース

Microsoftが2023年5月の「Windows Update」を実施 ~複数のゼロデイ脆弱性も

Microsoft製品全体で40件の脆弱性に対処。最高深刻度は「Critical」

2023年5月のセキュリティ更新プログラム

 米Microsoftは5月9日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー、Bリリース)。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。今月のパッチでは、CVE番号ベースで40件の脆弱性が新たに対処されている。

 このうち、すでに悪用の事実が確認されているのは、以下の2件。深刻度はいずれも「Important」で、すべてのバージョンのWindowsに影響する。

  • CVE-2023-29336:Win32k の特権の昇格の脆弱性
  • CVE-2023-24932:セキュア ブートのセキュリティ機能のバイパスの脆弱性

 また、悪用の報告はないが、すでに攻撃手法が明らかにされている深刻度「Critical」の脆弱性が1件存在する。

  • CVE-2023-29325:Windows OLE のリモートでコードが実行される脆弱性(Critical)

 深刻度が最高の「Critical」と評価されている脆弱性は、「CVE-2023-29325」のほかに5件リストアップされている。

  • CVE-2023-24955:Microsoft SharePoint Server のリモートでコードが実行される脆弱性
  • CVE-2023-28283:Windows Lightweight Directory Access Protocol (LDAP) のリモートでコードが実行される脆弱性
  • CVE-2023-24941:Microsoft ネットワーク ファイル システムのリモートでコードが実行される脆弱性
  • CVE-2023-24943:Windows Pragmatic General Multicast (PGM) のリモートでコードが実行される脆弱性
  • CVE-2023-24903:Windows Secure Socket トンネリング プロトコル (SSTP) のリモートでコードが実行される脆弱性

Windows 10/11およびWindows Server 2016/2019/2022

[利用可能になったらすぐに最新の更新プログラムを入手する]オプションが追加

 最大深刻度は「緊急」(リモートでコードが実行される)。セキュリティ修正に加え、非セキュリティプレビュー更新プログラムの内容が含まれている。

 なお、Enterprise/Education版「Windows 10 バージョン 20H2」のセキュリティパッチは今月が最後だ。引き続き利用するには、後継バージョンへの移行が必要となるので注意したい。

 また、「Windows 10 バージョン 21H2」は来月が最後のセキュリティアップデートとなる。後継バージョンへの移行を急ぐべきだろう。

Windows Server 2012/2012 R2

 最大深刻度は「緊急」(リモートでコードが実行される)。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。

  • Windows Server 2012 R2 マンスリー ロールアップ:KB5026415
  • Windows Server 2012 R2 セキュリティのみ:KB5026409
  • Windows Server 2012 マンスリー ロールアップ:KB5026419
  • Windows Server 2012 セキュリティのみ:KB5026411

 Windows Server 2012/2012 R2のサポートは10月10日まで。有償で拡張セキュリティアップデート(ESU)を購入すれば、2026年10月13日までパッチの提供をうけることができる。

Microsoft Office関連のソフトウェア

 最大深刻度は「重要」(リモートでコードが実行される)。詳細は以下のドキュメントを参照のこと。

Microsoft Edge

 「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間5月5日にリリースされたv113.0.1774.35。

Microsoft SharePoint

 「Microsoft SharePoint」関連の修正は3件。上述の通り、深刻度「Critical」の脆弱性が含まれているので注意したい。

そのほかの製品

 そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。

  • Windows Sysmon:1件(重要)
  • Visual Studio Code:1件(重要)
  • Microsoft Teams:1件(重要)
  • Microsoft Remote Desktop:1件(重要)
  • AV1 Video Extension:2件(重要)