ニュース

2023年10月の「Windows Update」が公開～「HTTP/2 Rapid Reset Attack」など103件の脆弱性に対処

「ワードパッド」「Skype for Business」などにゼロデイ脆弱性

樽井秀人

2023年10月11日 09:12

2023年10月のセキュリティ更新プログラム

　米Microsoftは10月10日（現地時間）、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした（パッチチューズデー）。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。今月のパッチでは、Windows以外の製品も含めCVE番号ベースで103件の脆弱性が新たに対処されている。

　このうち、すでに悪用が確認されているゼロデイ脆弱性は3件。深刻度の評価は、いずれも「Important」だ。

CVE-2023-36563：Microsoft WordPad Information Disclosure Vulnerability
CVE-2023-41763：Skype for Business Elevation of Privilege Vulnerability
CVE-2023-44487：HTTP/2 Rapid Reset Attack

　「CVE-2023-44487」は「HTTP/2 Rapid Reset Attack」と呼ばれるHTTP/2のサービス運用妨害（DoS）脆弱性で、Microsoft製品以外にも広範囲に影響する。業界で協調した対策がとられているので、ネットワークに関わる製品を利用している場合はとくに、開発元からパッチが提供されていないかチェックを怠らないようにしたい。

　深刻度が「Critical」と評価されている致命的な脆弱性は、以下の13件。

CVE-2023-38166：Layer 2 Tunneling Protocol Remote Code Execution Vulnerability
CVE-2023-41765：Layer 2 Tunneling Protocol Remote Code Execution Vulnerability
CVE-2023-41767：Layer 2 Tunneling Protocol Remote Code Execution Vulnerability
CVE-2023-41768：Layer 2 Tunneling Protocol Remote Code Execution Vulnerability
CVE-2023-41769：Layer 2 Tunneling Protocol Remote Code Execution Vulnerability
CVE-2023-41770：Layer 2 Tunneling Protocol Remote Code Execution Vulnerability
CVE-2023-41771：Layer 2 Tunneling Protocol Remote Code Execution Vulnerability
CVE-2023-41773：Layer 2 Tunneling Protocol Remote Code Execution Vulnerability
CVE-2023-41774：Layer 2 Tunneling Protocol Remote Code Execution Vulnerability
CVE-2023-36566：Microsoft Common Data Model SDK Denial of Service Vulnerability
CVE-2023-35349：Microsoft Message Queuing Remote Code Execution Vulnerability
CVE-2023-36697：Microsoft Message Queuing Remote Code Execution Vulnerability
CVE-2023-36718：Microsoft Virtual Trusted Platform Module Remote Code Execution Vulnerability

Windows 10/11およびWindows Server 2016/2019/2022

　最大深刻度は「緊急」（リモートでコードが実行される）。セキュリティ修正に加え、「Windows 11 2022 Update」（バージョン 22H2）の一部環境で4度目の大型アップデートが展開されている。

　詳細に関しては、別記事を参照のこと。

Windows 11 バージョン 22H2：KB5031354
Windows 11 バージョン 21H2：KB5031358
Windows 10 バージョン 22H2：KB5031356
Windows Server 2022：KB5031364
Windows Server 2019：KB5031361
Windows Server 2016：KB5031362

　なお、Home/Pro版「Windows 11 バージョン 21H2」にセキュリティパッチが提供されるのは今月が最後だ。できるだけ早い後継バージョンへの移行をお勧めする。

Windows Server 2012/2012 R2

　最大深刻度は「緊急」（リモートでコードが実行される）。「セキュリティのみ」と「マンスリーロールアップ」の2種類が用意されているが、可能な限り「マンスリーロールアップ」の適用が推奨されているので注意したい。

Windows Server 2012 R2 マンスリーロールアップ：KB5031419
Windows Server 2012 R2 セキュリティのみ：KB5031407
Windows Server 2012 マンスリーロールアップ：KB5031442
Windows Server 2012 セキュリティのみ：KB5031427

　なお、Windows Server 2012/2012 R2のサポートも今月で終了となる。有償で拡張セキュリティアップデート（ESU）を購入すれば、2026年10月13日までパッチの提供を受けられる。

Microsoft Office関連のソフトウェア

　最大深刻度は「重要」（特権の昇格）。詳細は以下のドキュメントを参照のこと。

　なお、「Office 2019」はメインストリームサポートが終了した。セキュリティ対策のみの延長サポートリリースは継続されるが、一部機能は維持されない可能性があるので注意したい。

Microsoft Edge

　「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間10月4日にリリースされたv117.0.2045.55。

　近日中に「Edge 118」がリリースされる予定なので、そのアップデートも忘れないようにしたい。

Microsoft Visual Studio

　「Microsoft Visual Studio」における修正は、2件。

CVE-2023-38171（重要：サービス拒否）
CVE-2023-44487（重要：サービス拒否）

　以下のバージョンでアップデートが提供されている。

Microsoft Visual Studio 2022 version 17.7
Microsoft Visual Studio 2022 version 17.6
Microsoft Visual Studio 2022 version 17.4
Microsoft Visual Studio 2022 version 17.2

Microsoft SQL Server

　「Microsoft SQL Server」関連では、5件の脆弱性が修正された。

CVE-2023-36417（重要：リモートでコードが実行される）
CVE-2023-36420（重要：リモートでコードが実行される）
CVE-2023-36728（重要：サービス拒否）
CVE-2023-36730（重要：リモートでコードが実行される）
CVE-2023-36785（重要：リモートでコードが実行される）

Microsoft Exchange Server

　「Microsoft Exchange Server」関連では、1件の脆弱性が修正されている。

CVE-2023-36778（重要：リモートでコードが実行される）

Microsoft Dynamics 365

　「Microsoft Dynamics 365」関連では、3件の脆弱性が修正された。

CVE-2023-36416（重要：なりすまし）
CVE-2023-36429（重要：情報漏洩）
CVE-2023-36433（重要：情報漏洩）

Microsoft .NET

　「.NET 7.0」では、3件の脆弱性が修正された。「CVE-2023-44487」のみ、「.NET 6.0」「ASP.NET Core 6.0」「ASP.NET Core 7.0」にも影響し、セキュリティパッチがリリースされている。

CVE-2023-36435（重要：サービス拒否）
CVE-2023-38171（重要：サービス拒否）
CVE-2023-44487（重要：サービス拒否）

そのほかの製品

　そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。

Skype for Business Server 2019 CU7：4件（重要）
Skype for Business Server 2015 CU13：4件（重要）
Microsoft OLE DB Driver 19 for SQL Server：2件（重要）
Microsoft OLE DB Driver 18 for SQL Server：2件（重要）
Microsoft ODBC Driver 18 for SQL Server：4件（重要）
Microsoft ODBC Driver 17 for SQL Server：4件（重要）
Microsoft Common Data Model SDK for TypeScript：1件（重要）
Microsoft Common Data Model SDK for Python：1件（重要）
Microsoft Common Data Model SDK for Java：1件（重要）
Microsoft Common Data Model SDK for C#：1件（重要）
Azure RTOS GUIX Studio Installer Application：1件（重要）
Azure RTOS GUIX Studio：1件（重要）
Azure Network Watcher VM Extension：1件（重要）
Azure Identity SDK for Python：1件（重要）
Azure Identity SDK for JavaScript：1件（重要）
Azure Identity SDK for Java：1件（重要）
Azure Identity SDK for .NET：2件（重要）
Azure HDInsight：1件（重要）
Azure DevOps Server 2022.0.1：1件（重要）
Azure DevOps Server 2020.1.2：1件（重要）
Azure DevOps Server 2020.0.2：1件（重要）