今年最初の「Windows Update」が実施、CVE番号ベースで49件の脆弱性へ新たに対処

2024年1月のセキュリティ更新プログラム

　米Microsoftは1月9日（現地時間）、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした（パッチチューズデー）。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。Windows以外の製品も含め、今月のパッチではCVE番号ベースで49件の脆弱性が新たに対処されている。

　このうち、深刻度が最高の「Critical」と評価されている脆弱性は、以下の2件。

• CVE-2024-20700：Windows Hyper-V Remote Code Execution Vulnerability
• CVE-2024-20674：Windows Kerberos Security Feature Bypass Vulnerability

　今のところ、いずれの脆弱性にも攻撃事例は報告されていないようだ。

Windows 10/11およびWindows Server 2016/2019/2022

　最大深刻度は「緊急」（リモートでコードが実行される）。「バージョン 23H2/22H2」におけるハイライトは以下の通り。

• リモートシステムでスマートカード認証を利用した際、60秒後にデバイスがシャットダウンしてしまう問題を解決
• スマートカードアイコンの表示に関わる不具合を修正

　加えて、一部Wi-Fiアダプターがネットワークに接続できなくなる既知の問題が解決されている。

• Windows 11 バージョン 23H2：KB5034123
• Windows 11 バージョン 22H2：KB5034123
• Windows 11 バージョン 21H2：KB5034121
• Windows 10 バージョン 22H2：KB5034122
• Windows Server 2022：KB5034129
• Windows Server 2019：KB5034127
• Windows Server 2016：KB5034119

　なお、「Windows 11 バージョン 23H2」と「Windows 11 バージョン 22H2」のパッチは共通。「イネーブルメント パッケージ」（eKB：有効化パッケージ）と呼ばれる小さなパッチで機能の有効・無効を切り替えているだけなので、アップグレードは比較的短時間で済む。

Microsoft Office関連のソフトウェア

　最大深刻度は「重要」重要：リモートでコードが実行される）。詳細は以下のドキュメントを参照のこと。

• Release notes for Microsoft Office security updates - Office release notes
• Microsoft Office の 2024 年 1 月の更新プログラム - Microsoft サポート

Microsoft Edge

　「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間1月5日にリリースされたv120.0.2210.121。

Microsoft Visual Studio

　「Microsoft Visual Studio」では、セキュリティ機能のバイパスやサービス拒否（DoS）、特権昇格などの脆弱性が修正された。以下のバージョンでアップデートが提供中。深刻度はいずれも「High」。

• Microsoft Visual Studio 2022 version 17.8：3件
• Microsoft Visual Studio 2022 version 17.6：4件
• Microsoft Visual Studio 2022 version 17.4：4件
• Microsoft Visual Studio 2022 version 17.2：4件
• Microsoft Visual Studio 2019 version 16.11：1件
• Microsoft Visual Studio 2017 version 15.9：1件
• Microsoft Visual Studio 2015 Update 3：1件

Microsoft SharePoint

　「Microsoft SharePoint」関連では、1件の脆弱性が修正された。

• CVE-2024-21318（重要：リモートでコードが実行される）

Microsoft .NET/.NET Framework

　「.NET」におけるセキュリティ修正は、公式ブログを参照のこと。「System.Data.SqlClient」および「Microsoft.Data.SqlClient」で情報が漏えいする問題やセキュリティバイパス、サービス拒否（DoS）などの問題が対処されている。

　「Microsoft .NET Framework」では、CVE番号ベースで4件の脆弱性が修正された。詳細は公式ブログを参照のこと。

そのほかの製品

　そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。

• Microsoft SQL Server 2022 for x64-based Systems：1件（重要）
• Microsoft Printer Metadata Troubleshooter Tool：1件（重要）
• CBL Mariner 2.0 x64：1件（重要）
• CBL Mariner 2.0 ARM：1件（重要）
• CBL Mariner 1.0 x64：1件（重要）
• CBL Mariner 1.0 ARM：1件（重要）
• Azure Storage Mover Agent：1件（重要）