ニュース
2023年8月の「Windows Update」が公開 ~74件の脆弱性に対処、「Critical」は6件
できるだけ早い適用を
2023年8月9日 08:45
米Microsoftは8月8日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー)。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。今月のパッチでは、Windows以外の製品も含めCVE番号ベースで74件の脆弱性が新たに対処されている。
このうち、深刻度が「Critical」と評価されている致命的な脆弱性は6件。いずれも悪用は確認されていないとのこと。
- CVE-2023-35385:Microsoft Message Queuing のリモートでコードが実行される脆弱性
- CVE-2023-36910:Microsoft Message Queuing のリモートでコードが実行される脆弱性
- CVE-2023-36911:Microsoft Message Queuing のリモートでコードが実行される脆弱性
- CVE-2023-29328:Microsoft Teams のリモートでコードが実行される脆弱性
- CVE-2023-29330:Microsoft Teams のリモートでコードが実行される脆弱性
- CVE-2023-36895:Microsoft Outlook のリモートでコードが実行される脆弱性
Windows 10/11およびWindows Server 2016/2019/2022
最大深刻度は「緊急」(リモートでコードが実行される)。セキュリティ修正に加え、非セキュリティプレビュー更新プログラムの一部が含まれている。
Windows Server 2012/2012 R2
最大深刻度は「緊急」(リモートでコードが実行される)。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。
- Windows Server 2012 R2 マンスリー ロールアップ:KB5029312
- Windows Server 2012 R2 セキュリティのみ:KB5029304
- Windows Server 2012 マンスリー ロールアップ:KB5029295
- Windows Server 2012 セキュリティのみ:KB5029308
Windows Server 2012/2012 R2のサポートは10月10日まで。有償で拡張セキュリティアップデート(ESU)を購入すれば、2026年10月13日までパッチの提供をうけることができる。
Microsoft Office関連のソフトウェア
最大深刻度は「重要」(リモートでコードが実行される)。詳細は以下のドキュメントを参照のこと。
- Release notes for Microsoft Office security updates - Office release notes
- August 2023 updates for Microsoft Office - Microsoft サポート
なお、「Office 2019」は10月10日でメインストリームサポートが打ち切られる。セキュリティ対策のみの延長サポートリリースは継続されるが、「Exchange Online」「SharePoint Online」「OneDrive for Business」などへの接続が保証されなくなるので注意したい。
Microsoft Edge/Internet Explorer
「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間8月7日にリリースされたv115.0.1901.200。
「Internet Explorer」に対する累積的セキュリティ更新プログラムもリリースされているが、これはWindows Server 2008/2008 R2/2012/2012 R2でのみ提供される。
Microsoft Teams
「Microsoft Teams」では、深刻度「Critical」の脆弱性が2件修正された。デスクトップ版、Mac版、iOS版、Android版でセキュリティアップデートが提供されている。
- CVE-2023-29328(緊急:リモートでコードが実行される)
- CVE-2023-29330(緊急:リモートでコードが実行される)
Microsoft Visual Studio
「Microsoft Visual Studio」における修正は、以下の通り。それぞれ最新版へのアップデートが必要だ。
- Microsoft Visual Studio 2022 version 17.6:4件(重要)
- Microsoft Visual Studio 2022 version 17.4:5件(重要)
- Microsoft Visual Studio 2022 version 17.2:5件(重要)
- Microsoft Visual Studio 2019 version 16.11:1件(重要)
- Microsoft Visual Studio 2017 version 15.9:1件(重要)
Microsoft SQL Server
「Microsoft SQL Server 2019」「Microsoft SQL Server 2022」では、1件の脆弱性が修正された。x64ベースのシステムに影響する。
- CVE-2023-38169(重要:リモートでコードが実行される)
Microsoft SharePoint Server
「Microsoft SharePoint Server」関連では、4件の脆弱性が修正された。
- CVE-2023-36890(重要:情報漏洩)
- CVE-2023-36891(重要:なりすまし)
- CVE-2023-36892(重要:なりすまし)
- CVE-2023-36894(重要:情報漏洩)
Microsoft Exchange Server
「Microsoft Exchange Server」関連では、6件の脆弱性が修正されている。
- CVE-2023-21709(重要:特権の昇格)
- CVE-2023-35368(重要:リモートでコードが実行される)
- CVE-2023-35388(重要:リモートでコードが実行される)
- CVE-2023-38181(重要:なりすまし)
- CVE-2023-38182(重要:リモートでコードが実行される)
- CVE-2023-38185(重要:リモートでコードが実行される)
Microsoft .NET
「.NET 7.0」では、3件の脆弱性が修正された。
- CVE-2023-35390(重要:リモートでコードが実行される)
- CVE-2023-35391(重要:情報漏洩)
- CVE-2023-38180(重要:サービス拒否)
「.NET 6.0」でも、4件の脆弱性が修正されている。
- CVE-2023-35390(重要:リモートでコードが実行される)
- CVE-2023-35391(重要:情報漏洩)
- CVE-2023-38178(重要:サービス拒否)
- CVE-2023-38180(重要:サービス拒否)
Microsoft .NET Framework
「Microsoft .NET Framework」では、2件の脆弱性が修正された。
- CVE-2023-36873(重要:なりすまし)
- CVE-2023-36899(重要:特権の昇格)
そのほかの製品
そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。
- Windows Defender Antimalware Platform:1件(重要)
- Visual Studio 2010 Tools for Office Runtime:1件(重要)
- Microsoft OLE DB Driver 19 for SQL Server:1件(重要)
- Microsoft OLE DB Driver 18 for SQL Server:1件(重要)
- Memory Integrity System Readiness Scan Tool:1件(警告)
- HEVC Video Extension:1件(重要)
- CBL Mariner 2.0 x64:1件(不明)
- CBL Mariner 2.0 ARM:1件(不明)
- Azure HDInsights:5件(重要)
- Azure DevOps Server 2022.0.1:1件(重要)
- Azure DevOps Server 2020.1.2:1件(重要)
- Azure DevOps Server 2019.1.2:1件(重要)
- Azure DevOps Server 2019.0.1:1件(重要)
- Azure Arc-Enabled Servers:1件(重要)
- ASP.NET Core 2.1:2件(重要)