ニュース

2023年11月の「Windows Update」、AI機能「Copilot in Windows」などの展開を拡大

ゼロデイを含む78件の脆弱性に対処

2023年11月15日 08:11

2023年11月のセキュリティ更新プログラム

 米Microsoftは11月14日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー)。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。Windows以外の製品も含め、今月のパッチではCVE番号ベースで78件の脆弱性が新たに対処されている。

 このうち、すでに攻撃手法が明らかにされている脆弱性や悪用が確認されている脆弱性は以下の通り。深刻度の評価は、いずれも「Important」。

  • CVE-2023-36033:Windows DWM Core Library Elevation of Privilege Vulnerability(公開済み、悪用の報告あり)
  • CVE-2023-36036:Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability(悪用の報告あり)
  • CVE-2023-36025:Windows SmartScreen Security Feature Bypass Vulnerability(悪用の報告あり)
  • CVE-2023-36038:ASP.NET Core Denial of Service Vulnerability(公開済み)
  • CVE-2023-36413:Microsoft Office Security Feature Bypass Vulnerability(公開済み)

 また、上記には含まれないものの、深刻度が最高の「Critical」と評価されている致命的な脆弱性が3件ある。

  • CVE-2023-36052:Azure CLI REST Command Information Disclosure Vulnerability
  • CVE-2023-36400:Windows HMAC Key Derivation Elevation of Privilege Vulnerability
  • CVE-2023-36397:Windows Pragmatic General Multicast (PGM) Remote Code Execution Vulnerability

 とくにリモートコード実行の脆弱性は「CVE-2023-36397」は、「CVSS v3.1」基本値が「9.8」と高くなっている。できるだけ早い対応が望ましい。

Windows 10/11およびWindows Server 2016/2019/2022

「Copilot in Windows」(プレビュー)を含む4度目の大型更新

 最大深刻度は「緊急」(リモートでコードが実行される)。セキュリティ修正に加え、プレビューパッチでテストされていた内容が含まれている。とくに「Windows 11 2022 Update」(バージョン 22H2)では、「Copilot in Windows」(プレビュー)を含む4度目の大型更新がより広い範囲に展開されるだろう。詳細に関しては、別記事を参照のこと。

 なお、「Windows 11 バージョン 23H2」と「Windows 11 バージョン 22H2」のパッチは共通。「イネーブルメント パッケージ」(eKB:有効化パッケージ)と呼ばれる小さなパッチで機能の有効・無効を切り替えているだけなので、アップグレードは比較的短時間で済む。

 また、Windows Server 2012/2012 R2のサポートは先月で終了した。移行の猶予を得たい場合は、有償で拡張セキュリティアップデート(ESU)を購入する必要がある。

関連記事

Microsoft Office関連のソフトウェア

 最大深刻度は「重要」(特権の昇格)。詳細は以下のドキュメントを参照のこと。

Microsoft Edge

 「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間11月9日にリリースされたv119.0.2151.58。

関連記事

 今週中にまたセキュリティアップデートが配信される見込みなので、アップデートを怠らないようにしたい。

Microsoft Visual Studio

 「Microsoft Visual Studio」における修正は、4件。

 以下のバージョンでアップデートが提供されている。

  • Microsoft Visual Studio 2022 version 17.7
  • Microsoft Visual Studio 2022 version 17.6
  • Microsoft Visual Studio 2022 version 17.4
  • Microsoft Visual Studio 2022 version 17.2
  • Microsoft Visual Studio 2022 version 16.11

Microsoft SharePoint Server

 「Microsoft SharePoint Server」関連では、1件の脆弱性が修正された。

  • CVE-2023-38177(重要:リモートでコードが実行される)

Microsoft Exchange Server

 「Microsoft Exchange Server」関連では、4件の脆弱性が修正されている。

Microsoft Dynamics 365

 「Microsoft Dynamics 365」関連では、4件の脆弱性が修正された。

Microsoft .NET/.NET Framework

 「.NET」「ASP.NET」「.NET Framework」関連のセキュリティ修正に関しては、公式ブログのアナウンスを参照のこと。

そのほかの製品

 そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。

  • Windows Defender Antimalware Platform:1件(重要)
  • System Center Operations Manager:1件(重要)
  • Send Customer Voice survey from Dynamics 365 app:1件(重要)
  • On-Prem Data Gateway:1件(重要)
  • Microsoft OLE DB Provider for DB2 V7:1件(重要)
  • Jupyter Extension for Visual Studio Code:1件(重要)
  • Host Integration Server 2020:1件(重要)
  • CBL Mariner 2.0 x64:5件(重要)
  • CBL Mariner 2.0 ARM:5件(重要)
  • Azure Pipelines Agent:1件(重要)
  • az webapp config appsettings set:1件(緊急)
  • az webapp config appsettings delete:1件(緊急)
  • az staticwebapp appsettings set:1件(緊急)
  • az staticwebapp appsettings delete:1件(緊急)
  • az logicapp config appsettings set:1件(緊急)
  • az logicapp config appsettings delete:1件(緊急)
  • az functionapp config appsettings set:1件(緊急)
  • az functionapp config appsettings delete:1件(緊急)