ニュース

2023年8月の「Windows Update」が公開 ~74件の脆弱性に対処、「Critical」は6件

できるだけ早い適用を

2023年8月のセキュリティ更新プログラム

 米Microsoftは8月8日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー)。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。今月のパッチでは、Windows以外の製品も含めCVE番号ベースで74件の脆弱性が新たに対処されている。

 このうち、深刻度が「Critical」と評価されている致命的な脆弱性は6件。いずれも悪用は確認されていないとのこと。

  • CVE-2023-35385:Microsoft Message Queuing のリモートでコードが実行される脆弱性
  • CVE-2023-36910:Microsoft Message Queuing のリモートでコードが実行される脆弱性
  • CVE-2023-36911:Microsoft Message Queuing のリモートでコードが実行される脆弱性
  • CVE-2023-29328:Microsoft Teams のリモートでコードが実行される脆弱性
  • CVE-2023-29330:Microsoft Teams のリモートでコードが実行される脆弱性
  • CVE-2023-36895:Microsoft Outlook のリモートでコードが実行される脆弱性

Windows 10/11およびWindows Server 2016/2019/2022

 最大深刻度は「緊急」(リモートでコードが実行される)。セキュリティ修正に加え、非セキュリティプレビュー更新プログラムの一部が含まれている。

Windows Server 2012/2012 R2

 最大深刻度は「緊急」(リモートでコードが実行される)。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。

  • Windows Server 2012 R2 マンスリー ロールアップ:KB5029312
  • Windows Server 2012 R2 セキュリティのみ:KB5029304
  • Windows Server 2012 マンスリー ロールアップ:KB5029295
  • Windows Server 2012 セキュリティのみ:KB5029308

 Windows Server 2012/2012 R2のサポートは10月10日まで。有償で拡張セキュリティアップデート(ESU)を購入すれば、2026年10月13日までパッチの提供をうけることができる。

Microsoft Office関連のソフトウェア

 最大深刻度は「重要」(リモートでコードが実行される)。詳細は以下のドキュメントを参照のこと。

 なお、「Office 2019」は10月10日でメインストリームサポートが打ち切られる。セキュリティ対策のみの延長サポートリリースは継続されるが、「Exchange Online」「SharePoint Online」「OneDrive for Business」などへの接続が保証されなくなるので注意したい。

Microsoft Edge/Internet Explorer

 「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間8月7日にリリースされたv115.0.1901.200。

 「Internet Explorer」に対する累積的セキュリティ更新プログラムもリリースされているが、これはWindows Server 2008/2008 R2/2012/2012 R2でのみ提供される。

Microsoft Teams

 「Microsoft Teams」では、深刻度「Critical」の脆弱性が2件修正された。デスクトップ版、Mac版、iOS版、Android版でセキュリティアップデートが提供されている。

  • CVE-2023-29328(緊急:リモートでコードが実行される)
  • CVE-2023-29330(緊急:リモートでコードが実行される)

Microsoft Visual Studio

 「Microsoft Visual Studio」における修正は、以下の通り。それぞれ最新版へのアップデートが必要だ。

  • Microsoft Visual Studio 2022 version 17.6:4件(重要)
  • Microsoft Visual Studio 2022 version 17.4:5件(重要)
  • Microsoft Visual Studio 2022 version 17.2:5件(重要)
  • Microsoft Visual Studio 2019 version 16.11:1件(重要)
  • Microsoft Visual Studio 2017 version 15.9:1件(重要)

Microsoft SQL Server

 「Microsoft SQL Server 2019」「Microsoft SQL Server 2022」では、1件の脆弱性が修正された。x64ベースのシステムに影響する。

  • CVE-2023-38169(重要:リモートでコードが実行される)

Microsoft SharePoint Server

 「Microsoft SharePoint Server」関連では、4件の脆弱性が修正された。

Microsoft Exchange Server

 「Microsoft Exchange Server」関連では、6件の脆弱性が修正されている。

Microsoft Dynamics 365

 「Microsoft Dynamics 365」関連では、1件の脆弱性が修正された。

  • CVE-2023-35389(重要:リモートでコードが実行される)

Microsoft .NET

 「.NET 7.0」では、3件の脆弱性が修正された。

 「.NET 6.0」でも、4件の脆弱性が修正されている。

Microsoft .NET Framework

 「Microsoft .NET Framework」では、2件の脆弱性が修正された。

そのほかの製品

 そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。

  • Windows Defender Antimalware Platform:1件(重要)
  • Visual Studio 2010 Tools for Office Runtime:1件(重要)
  • Microsoft OLE DB Driver 19 for SQL Server:1件(重要)
  • Microsoft OLE DB Driver 18 for SQL Server:1件(重要)
  • Memory Integrity System Readiness Scan Tool:1件(警告)
  • HEVC Video Extension:1件(重要)
  • CBL Mariner 2.0 x64:1件(不明)
  • CBL Mariner 2.0 ARM:1件(不明)
  • Azure HDInsights:5件(重要)
  • Azure DevOps Server 2022.0.1:1件(重要)
  • Azure DevOps Server 2020.1.2:1件(重要)
  • Azure DevOps Server 2019.1.2:1件(重要)
  • Azure DevOps Server 2019.0.1:1件(重要)
  • Azure Arc-Enabled Servers:1件(重要)
  • ASP.NET Core 2.1:2件(重要)