ニュース

今年最後の「Windows Update」、CVE番号ベースで33件の脆弱性へ新たに対処

深刻度が最高の「Critical」は4件

2023年12月のセキュリティ更新プログラム

 米Microsoftは12月12日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー)。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。Windows以外の製品も含め、今月のパッチではCVE番号ベースで33件の脆弱性が新たに対処されている。

 このうち、深刻度が最高の「Critical」と評価されている脆弱性は、以下の4件。

  • CVE-2023-35641:Microsoft - インターネット接続の共有(ICS)のリモートでコードが実行される脆弱性
  • CVE-2023-35630:インターネット接続の共有(ICS)のリモートでコードが実行される脆弱性
  • CVE-2023-36019:Microsoft Power Platform コネクタのなりすましの脆弱性
  • CVE-2023-35628:Windows MSHTML プラットフォームのリモートでコードが実行される脆弱性

 また、サードパーティの脆弱性ではあるが、一部のAMDプロセッサーでゼロ除算エラーが発生すると、投機的なデータが返され、機密性が失われる可能性がある問題(CVE-2023-20588)は攻撃手法がすでに公にされているため、警戒が必要だ。深刻度の評価は「Medium」。

Windows 10/11およびWindows Server 2016/2019/2022

 最大深刻度は「緊急」(リモートでコードが実行される)。セキュリティ修正に加え、プレビューパッチでテストされていた内容が含まれている。

 なお、「Windows 11 バージョン 23H2」と「Windows 11 バージョン 22H2」のパッチは共通。「イネーブルメント パッケージ」(eKB:有効化パッケージ)と呼ばれる小さなパッチで機能の有効・無効を切り替えているだけなので、アップグレードは比較的短時間で済む。

 また、Windows Server 2012/2012 R2のサポートは先月で終了した。移行の猶予を得たい場合は、有償で拡張セキュリティアップデート(ESU)を購入する必要がある。

Microsoft Office関連のソフトウェア

 最大深刻度は「重要」(特権の昇格)。詳細は以下のドキュメントを参照のこと。

Microsoft Edge

 「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間12月9日にリリースされたv120.0.2210.61。

Microsoft Dynamics 365

 「Microsoft Dynamics 365」関連では、1件の脆弱性が修正された。

そのほかの製品

 そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。

  • Microsoft Power Platform:1件(緊急)
  • Microsoft Malware Protection Platform:1件(重要)
  • Microsoft 365 Apps for Enterprise for 64-bit Systems:2件(重要)
  • Microsoft 365 Apps for Enterprise for 32-bit Systems:2件(重要)
  • Dynamics 365 for Finance and Operations Version 10.0.38 Platform Update 62:1件(重要)
  • Dynamics 365 for Finance and Operations Version 10.0.37 Platform Update 61:1件(重要)
  • Dynamics 365 for Finance and Operations Platform Update 60:1件(重要)
  • Azure Machine Learning SDK:1件(重要)
  • Azure Logic Apps:1件(緊急)
  • Azure Connected Machine Agent:1件(重要)