2024年2月の「Windows Update」、2件のゼロデイを含む72件の脆弱性へ新たに対処

2024年2月のセキュリティ更新プログラム

　米Microsoftは2月9日（現地時間）、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした（パッチチューズデー）。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。Windows以外の製品も含め、今月のパッチではCVE番号ベースで72件の脆弱性が新たに対処されている。

　このうち、すでに悪用が確認されている脆弱性は以下の2件。深刻度はそれほどでもないが、できるだけ早い対処が望ましい。

• CVE-2024-21412：インターネット ショートカット ファイルのセキュリティ機能のバイパスの脆弱性（Important）
• CVE-2024-21351：Windows SmartScreen のセキュリティ機能のバイパスの脆弱性（Moderate）

　加えて、以下の5件が深刻度最高の「Critical」と評価されている。

• CVE-2024-21380：Microsoft Dynamics Business Central/NAV の情報漏えいの脆弱性
• CVE-2024-21410：Microsoft Exchange Server の特権の昇格の脆弱性
• CVE-2024-21413：Microsoft Outlook のリモートでコードが実行される脆弱性
• CVE-2024-20684：Windows Hyper-V のサービス拒否の脆弱性
• CVE-2024-21357：Windows Pragmatic General Multicast (PGM) のリモートでコードが実行される脆弱性

Windows 10/11およびWindows Server 2016/2019/2022

• Windows 11 バージョン 23H2：KB5034765
• Windows 11 バージョン 22H2：KB5034765
• Windows 11 バージョン 21H2：KB5034766
• Windows 10 バージョン 22H2：KB5034763
• Windows Server 2022：KB5034770
• Windows Server 2019：KB5034768
• Windows Server 2016：KB5034767

　最大深刻度は「緊急」（リモートでコードが実行される）。「バージョン 23H2/22H2」におけるハイライトは以下の通り。

• 「Copilot in Windows」のアイコンがタスクトレイの右側に。これに伴い、タスクバーの設定ページにある［デスクトップを表示するには、タスクバーの隅を選択します］というオプションは初期状態で無効化される。段階的にロールアウトされるため、変更が適用されるタイミングはデバイスによって異なる
• ナチュラルボイスを使用すると「ナレーター」アプリの読み上げが遅くなる問題を解決
• コントローラーアクセサリーを接続したPCを再起動もしくはシャットダウンすると「エクスプローラー」が応答しなくなる問題に対処
• デバイスメタデータのダウンロードに影響する問題が解決され、HTTPSを介したWindowsメタデータおよびインターネット サービス（WMIS）からのダウンロードの安全性が向上

　なお、「Windows 11 バージョン 23H2」と「Windows 11 バージョン 22H2」のパッチは共通。「イネーブルメント パッケージ」（eKB：有効化パッケージ）と呼ばれる小さなパッチで機能の有効・無効を切り替えているだけなので、アップグレードは比較的短時間で済む。

Microsoft Office関連のソフトウェア

　最大深刻度は「緊急」（リモートでコードが実行される）。詳細は以下のドキュメントを参照のこと。

• Release notes for Microsoft Office security updates - Office release notes
• Microsoft Office の 2024 年 2 月の更新プログラム - Microsoft サポート

Microsoft Edge

　「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間2月8日にリリースされたv121.0.2277.112。

Microsoft Visual Studio

　「Microsoft Visual Studio」では、2件の脆弱性が修正された。

• CVE-2024-21386（重要：サービス拒否）
• CVE-2024-21404（重要：サービス拒否）

　以下のバージョンでアップデートが提供中だ。

• Microsoft Visual Studio 2022 version 17.8
• Microsoft Visual Studio 2022 version 17.6
• Microsoft Visual Studio 2022 version 17.4

Microsoft Exchange

　「Microsoft Exchange」関連では、1件の脆弱性が修正された。今回のアップデートでは拡張保護が既定で有効になるなどの変更があるので、管理者は公式ブログのアナウンス記事も参照のこと。

• CVE-2024-21410（緊急：特権の昇格）

Microsoft Dynamics 365

　「Microsoft Dynamics 365 」では、6件の脆弱性が修正された。

• CVE-2024-21328（重要：なりすまし）
• CVE-2024-21389（重要：なりすまし）
• CVE-2024-21393（重要：なりすまし）
• CVE-2024-21394（重要：なりすまし）
• CVE-2024-21395（重要：なりすまし）
• CVE-2024-21396（重要：なりすまし）

　「Dynamics 365 Business Central」の各バージョンでも1件の問題が修正されている。

Microsoft .NET/.NET Framework

　「.NET」におけるセキュリティ修正は、公式ブログを参照のこと。サービス拒否（DoS）の問題が2件対処されている。

　Windowsのみに対応する古い「Microsoft .NET Framework」には、これらの問題は影響しないようだ。

そのほかの製品

　そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。

• Skype for Business Server 2019 CU7：1件（重要）
• Skype for Business 2016：1件（重要）
• Microsoft Visio 2016：1件（重要）
• Microsoft Teams for Android：1件（重要）
• Microsoft Publisher 2016：1件（重要）
• Microsoft Entra Jira Single-Sign-On Plugin：1件（重要）
• Microsoft Defender for Endpoint for Windows：1件（重要）
• Microsoft Azure Active Directory B2C：1件（重要）
• CBL Mariner 2.0 x64：1件（不明）
• CBL Mariner 2.0 ARM：1件（不明）
• Azure Stack Hub：1件（重要）
• Azure Site Recovery：1件（重要）
• Azure Kubernetes Service Confidential Containers：2件（重要）
• Azure File Sync v17.0：1件（重要）
• Azure File Sync v16.0：1件（重要）
• Azure File Sync v15.0：1件（重要）
• Azure File Sync v14.0：1件（重要）
• Azure DevOps Server 2022.1：1件（重要）
• Azure DevOps Server 2020.1.2：1件（重要）
• Azure DevOps Server 2019.1.2：1件（重要）
• Azure Connected Machine Agent：1件（重要）