ニュース

2023年7月の「Windows Update」が公開 ~Windows 11 2022 Updateに3度目の大型更新

ゼロデイ5件、「Critical」9件を含む130件の脆弱性に対処

2023年7月12日 09:55

2023年7月のセキュリティ更新プログラム

 米Microsoftは7月11日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー)。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。今月のパッチでは、Windows以外の製品も含めCVE番号ベースで130件の脆弱性が新たに対処されている。

 このうち、すでに悪用の事実が確認されているゼロデイ脆弱性は以下の5件。深刻度はいずれも「Important」と評価されている。

  • CVE-2023-36884:Office and Windows HTML Remote Code Execution Vulnerability
  • CVE-2023-35311:Microsoft Outlook Security Feature Bypass Vulnerability
  • CVE-2023-36874:Windows Error Reporting Service Elevation of Privilege Vulnerability
  • CVE-2023-32046:Windows MSHTML Platform Elevation of Privilege Vulnerability
  • CVE-2023-32049:Windows SmartScreen Security Feature Bypass Vulnerability

 「CVE-2023-36884」に関しては攻撃方法も公になっており、警戒が必要。

 また、深刻度が「Critical」と評価されている致命的な脆弱性も9件含まれている。まだ悪用は確認されていないものの、万が一の際は影響が大きいと見込まれているため、できるだけ早い対処が必要だ。

  • CVE-2023-32057:Microsoft Message Queuing Remote Code Execution Vulnerability
  • CVE-2023-33157:Microsoft SharePoint Remote Code Execution Vulnerability
  • CVE-2023-33160:Microsoft SharePoint Server Remote Code Execution Vulnerability
  • CVE-2023-35315:Windows Layer-2 Bridge Network Driver Remote Code Execution Vulnerability
  • CVE-2023-35297:Windows Pragmatic General Multicast (PGM) Remote Code Execution Vulnerability
  • CVE-2023-35352:Windows Remote Desktop Security Feature Bypass Vulnerability
  • CVE-2023-35365:Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability
  • CVE-2023-35366:Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability
  • CVE-2023-35367:Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability

 なお、今月で「Windows Embedded 8 Standard」などのサポートが打ち切られる点には注意したい。後継となる製品やバージョン、代替ソリューションへの移行が必要だ。

関連記事

Windows 10/11およびWindows Server 2016/2019/2022

 最大深刻度は「緊急」(リモートでコードが実行される)。セキュリティ修正に加え、非セキュリティプレビュー更新プログラムの内容が含まれている。

関連記事

 とくに「Windows 11 2022 Update」(バージョン 22H2)では3度目の大型更新が展開され、秒単位のタスクトレイ時計、日本語対応のライブキャプション、VPN接続の盾アイコンなどが利用できるようになる。

VPNインジケーターアイコンと秒まで表示できる時計

Windows Server 2012/2012 R2

 最大深刻度は「緊急」(リモートでコードが実行される)。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。

  • Windows Server 2012 R2 マンスリー ロールアップ:KB5028228
  • Windows Server 2012 R2 セキュリティのみ:KB5028223
  • Windows Server 2012 マンスリー ロールアップ:KB5028232
  • Windows Server 2012 セキュリティのみ:KB5028233

 Windows Server 2012/2012 R2のサポートは10月10日まで。有償で拡張セキュリティアップデート(ESU)を購入すれば、2026年10月13日までパッチの提供をうけることができる。

関連記事

Microsoft Office関連のソフトウェア

 最大深刻度は「重要」(リモートでコードが実行される)。詳細は以下のドキュメントを参照のこと。

Microsoft Edge

 「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間6月29日にリリースされたv114.0.1823.67。

関連記事

Microsoft Visual Studio

 「Visual Studio」関連では、2件の脆弱性が修正された。

 以下のサポート中バージョンに対し、それぞれセキュリティアップデートがリリースされている。

  • Microsoft Visual Studio 2022 version 17.6
  • Microsoft Visual Studio 2022 version 17.5
  • Microsoft Visual Studio 2022 version 17.4
  • Microsoft Visual Studio 2022 version 17.2
  • Microsoft Visual Studio 2022 version 17.0(今月が最後のセキュリティパッチ

Microsoft SharePoint

 「Microsoft SharePoint」関連の修正は5件。上述の通り、深刻度「Critical」の脆弱性が含まれているので注意したい。

Microsoft Dynamics 365

 「Microsoft Dynamics 365」では、2件の脆弱性が修正された。

Microsoft .NET

 「.NET 6.0」「.NET 7.0」で修正された脆弱性は、以下の2件。

そのほかの製品

 そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。

  • Windows Admin Center:1件(重要)
  • VP9 Video Extensions:1件(重要)
  • Visual Studio Code - GitHub Pull Requests and Issues Extension:1件(重要)
  • Raw Image Extension:1件(重要)
  • PandocUpload:1件(重要)
  • Paint 3D:2件(重要)
  • Mono 6.12.0:1件(重要)
  • Microsoft Power Apps:1件(重要)
  • Microsoft Malware Protection Engine:1件(重要)
  • Azure Service Fabric 9.1 for Windows:1件(重要)
  • Azure Service Fabric 9.0 for Windows:1件(重要)