ニュース

2023年9月の「Windows Update」が公開 ~ゼロデイ2件を含む59件の脆弱性に対処

深刻度「Critical」はインターネット接続共有や「Visual Studio」など5件

2023年9月13日 09:05

2023年9月のセキュリティ更新プログラム

 米Microsoftは9月12日(現地時間)、すべてのサポート中バージョンのWindowsに対し、月例のセキュリティ更新プログラムをリリースした(パッチチューズデー)。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。今月のパッチでは、Windows以外の製品も含めCVE番号ベースで59件の脆弱性が新たに対処されている。

 このうち、すでに悪用が確認されているゼロデイ脆弱性は2件。

  • CVE-2023-36761:Microsoft Word の情報漏えいの脆弱性
  • CVE-2023-36802:Microsoft Stream Services サービスのプロキシの特権の昇格の脆弱性

 「CVE-2023-36761」に関しては、攻撃手法も明らかにされている。深刻度の評価は「Important」にとどまるが、できるだけ早い対処が必要だ。

 深刻度が「Critical」と評価されている致命的な脆弱性は、以下の5件。

  • CVE-2023-38148:インターネット接続の共有 (ICS) のリモートでコードが実行される脆弱性
  • CVE-2023-29332:Microsoft Azure Kubernetes サービスの特権の昇格の脆弱性
  • CVE-2023-36792:Visual Studio のリモートでコードが実行される脆弱性
  • CVE-2023-36793:Visual Studio のリモートでコードが実行される脆弱性
  • CVE-2023-36796:Visual Studio のリモートでコードが実行される脆弱性

Windows 10/11およびWindows Server 2016/2019/2022

 最大深刻度は「緊急」(リモートでコードが実行される)。セキュリティ修正に加え、非セキュリティプレビュー更新プログラムの一部が含まれている。

関連記事

 プレビューパッチではごく一部の環境でブルースクリーンが発生する問題が報告され、話題となっていたが、すでに原因は特定されている。セキュリティパッチが配信されない場合は、マザーボードメーカーから対策版のBIOSが提供されていないか確認するとよいだろう。

 なお、Home/Pro版「Windows 11 バージョン 21H2」は10月10日でサービス終了となる。後継バージョンへの移行が必要だ。

Windows Server 2012/2012 R2

 最大深刻度は「緊急」(リモートでコードが実行される)。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。

  • Windows Server 2012 R2 マンスリー ロールアップ:KB5030269
  • Windows Server 2012 R2 セキュリティのみ:KB5030287
  • Windows Server 2012 マンスリー ロールアップ:KB5030278
  • Windows Server 2012 セキュリティのみ:KB5030279

 Windows Server 2012/2012 R2のサポートは10月10日まで。有償で拡張セキュリティアップデート(ESU)を購入すれば、2026年10月13日までパッチの提供をうけることができる。

関連記事

Microsoft Office関連のソフトウェア

 最大深刻度は「緊急」(リモートでコードが実行される)。詳細は以下のドキュメントを参照のこと。

 なお、「Office 2019」は10月10日でメインストリームサポートが打ち切られる。セキュリティ対策のみの延長サポートリリースは継続されるが、「Exchange Online」「SharePoint Online」「OneDrive for Business」などへの接続が保証されなくなるので注意したい。

関連記事

Microsoft Edge

 「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間9月12日にリリースされたv116.0.1938.81。ゼロデイ脆弱性が修正されているので、できるだけ早いアップデートを心掛けたい。

関連記事

Microsoft Visual Studio

 「Microsoft Visual Studio」における修正は、以下の通り。それぞれ最新版へのアップデートが必要だ。

  • Microsoft Visual Studio 2022 version 17.7:7件(緊急3件、重要4件)
  • Microsoft Visual Studio 2022 version 17.6:5件(緊急2件、重要3件)
  • Microsoft Visual Studio 2022 version 17.4:6件(緊急3件、重要3件)
  • Microsoft Visual Studio 2022 version 17.2:6件(緊急3件、重要3件)
  • Microsoft Visual Studio 2019 version 16.11:5件(緊急2件、重要3件)
  • Microsoft Visual Studio 2017 version 15.9:4件(緊急3件、重要1件)

Microsoft SharePoint Server

 「Microsoft SharePoint Server」関連では、2件の脆弱性が修正された。

Microsoft Exchange Server

 「Microsoft Exchange Server」関連では、5件の脆弱性が修正されている。

Microsoft Dynamics 365

 「Microsoft Dynamics 365」関連では、2件の脆弱性が修正された。

Microsoft .NET

 「.NET 7.0」「.NET 6.0」では、5件の脆弱性が修正された。

Microsoft .NET Framework

 「Microsoft .NET Framework」関連では、5件の脆弱性が修正された。

  • CVE-2023-36792(緊急:リモートでコードが実行される)
  • CVE-2023-36793(緊急:リモートでコードが実行される)
  • CVE-2023-36796(緊急:リモートでコードが実行される)
  • CVE-2023-36788(重要:リモートでコードが実行される)
  • CVE-2023-36794(重要:リモートでコードが実行される)

そのほかの製品

 そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。

  • Visual Studio Code:2件(重要)
  • Microsoft Identity Linux Broker:1件(重要)
  • Microsoft Defender Security Intelligence Updates:1件(重要)
  • Azure Kubernetes Service:1件(緊急)
  • Azure HDInsights:1件(重要)
  • Azure DevOps Server 2022.0.1:2件(重要)
  • Azure DevOps Server 2020.1.2:2件(重要)
  • Azure DevOps Server 2020.0.2:2件(重要)
  • Azure DevOps Server 2019.1.2:2件(重要)
  • Azure DevOps Server 2019.0.1:2件(重要)
  • 3D Viewer:4件(重要)
  • 3D Builder:4件(重要)