ニュース
今年最後の「Windows Update」、CVE番号ベースで33件の脆弱性へ新たに対処
深刻度が最高の「Critical」は4件
2023年12月13日 08:57
米Microsoftは12月12日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー)。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。Windows以外の製品も含め、今月のパッチではCVE番号ベースで33件の脆弱性が新たに対処されている。
このうち、深刻度が最高の「Critical」と評価されている脆弱性は、以下の4件。
- CVE-2023-35641:Microsoft - インターネット接続の共有(ICS)のリモートでコードが実行される脆弱性
- CVE-2023-35630:インターネット接続の共有(ICS)のリモートでコードが実行される脆弱性
- CVE-2023-36019:Microsoft Power Platform コネクタのなりすましの脆弱性
- CVE-2023-35628:Windows MSHTML プラットフォームのリモートでコードが実行される脆弱性
また、サードパーティの脆弱性ではあるが、一部のAMDプロセッサーでゼロ除算エラーが発生すると、投機的なデータが返され、機密性が失われる可能性がある問題(CVE-2023-20588)は攻撃手法がすでに公にされているため、警戒が必要だ。深刻度の評価は「Medium」。
Windows 10/11およびWindows Server 2016/2019/2022
最大深刻度は「緊急」(リモートでコードが実行される)。セキュリティ修正に加え、プレビューパッチでテストされていた内容が含まれている。
- Windows 11 バージョン 23H2:KB5033375
- Windows 11 バージョン 22H2:KB5033375
- Windows 11 バージョン 21H2:KB5033369
- Windows 10 バージョン 22H2:KB5033372
- Windows Server 2022:KB5033118
- Windows Server 2019:KB5033371
- Windows Server 2016:KB5033373
なお、「Windows 11 バージョン 23H2」と「Windows 11 バージョン 22H2」のパッチは共通。「イネーブルメント パッケージ」(eKB:有効化パッケージ)と呼ばれる小さなパッチで機能の有効・無効を切り替えているだけなので、アップグレードは比較的短時間で済む。
また、Windows Server 2012/2012 R2のサポートは先月で終了した。移行の猶予を得たい場合は、有償で拡張セキュリティアップデート(ESU)を購入する必要がある。
Microsoft Office関連のソフトウェア
最大深刻度は「重要」(特権の昇格)。詳細は以下のドキュメントを参照のこと。
Microsoft Edge
「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間12月9日にリリースされたv120.0.2210.61。
そのほかの製品
そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。
- Microsoft Power Platform:1件(緊急)
- Microsoft Malware Protection Platform:1件(重要)
- Microsoft 365 Apps for Enterprise for 64-bit Systems:2件(重要)
- Microsoft 365 Apps for Enterprise for 32-bit Systems:2件(重要)
- Dynamics 365 for Finance and Operations Version 10.0.38 Platform Update 62:1件(重要)
- Dynamics 365 for Finance and Operations Version 10.0.37 Platform Update 61:1件(重要)
- Dynamics 365 for Finance and Operations Platform Update 60:1件(重要)
- Azure Machine Learning SDK:1件(重要)
- Azure Logic Apps:1件(緊急)
- Azure Connected Machine Agent:1件(重要)