ニュース
2024年2月の「Windows Update」、2件のゼロデイを含む72件の脆弱性へ新たに対処
「Copilot in Windows」のアイコンはタスクトレイの右側に
2024年2月14日 09:28
米Microsoftは2月9日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー)。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。Windows以外の製品も含め、今月のパッチではCVE番号ベースで72件の脆弱性が新たに対処されている。
このうち、すでに悪用が確認されている脆弱性は以下の2件。深刻度はそれほどでもないが、できるだけ早い対処が望ましい。
- CVE-2024-21412:インターネット ショートカット ファイルのセキュリティ機能のバイパスの脆弱性(Important)
- CVE-2024-21351:Windows SmartScreen のセキュリティ機能のバイパスの脆弱性(Moderate)
加えて、以下の5件が深刻度最高の「Critical」と評価されている。
- CVE-2024-21380:Microsoft Dynamics Business Central/NAV の情報漏えいの脆弱性
- CVE-2024-21410:Microsoft Exchange Server の特権の昇格の脆弱性
- CVE-2024-21413:Microsoft Outlook のリモートでコードが実行される脆弱性
- CVE-2024-20684:Windows Hyper-V のサービス拒否の脆弱性
- CVE-2024-21357:Windows Pragmatic General Multicast (PGM) のリモートでコードが実行される脆弱性
Windows 10/11およびWindows Server 2016/2019/2022
- Windows 11 バージョン 23H2:KB5034765
- Windows 11 バージョン 22H2:KB5034765
- Windows 11 バージョン 21H2:KB5034766
- Windows 10 バージョン 22H2:KB5034763
- Windows Server 2022:KB5034770
- Windows Server 2019:KB5034768
- Windows Server 2016:KB5034767
最大深刻度は「緊急」(リモートでコードが実行される)。「バージョン 23H2/22H2」におけるハイライトは以下の通り。
- 「Copilot in Windows」のアイコンがタスクトレイの右側に。これに伴い、タスクバーの設定ページにある[デスクトップを表示するには、タスクバーの隅を選択します]というオプションは初期状態で無効化される。段階的にロールアウトされるため、変更が適用されるタイミングはデバイスによって異なる
- ナチュラルボイスを使用すると「ナレーター」アプリの読み上げが遅くなる問題を解決
- コントローラーアクセサリーを接続したPCを再起動もしくはシャットダウンすると「エクスプローラー」が応答しなくなる問題に対処
- デバイスメタデータのダウンロードに影響する問題が解決され、HTTPSを介したWindowsメタデータおよびインターネット サービス(WMIS)からのダウンロードの安全性が向上
なお、「Windows 11 バージョン 23H2」と「Windows 11 バージョン 22H2」のパッチは共通。「イネーブルメント パッケージ」(eKB:有効化パッケージ)と呼ばれる小さなパッチで機能の有効・無効を切り替えているだけなので、アップグレードは比較的短時間で済む。
Microsoft Office関連のソフトウェア
最大深刻度は「緊急」(リモートでコードが実行される)。詳細は以下のドキュメントを参照のこと。
Microsoft Edge
「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間2月8日にリリースされたv121.0.2277.112。
Microsoft Visual Studio
「Microsoft Visual Studio」では、2件の脆弱性が修正された。
- CVE-2024-21386(重要:サービス拒否)
- CVE-2024-21404(重要:サービス拒否)
以下のバージョンでアップデートが提供中だ。
- Microsoft Visual Studio 2022 version 17.8
- Microsoft Visual Studio 2022 version 17.6
- Microsoft Visual Studio 2022 version 17.4
Microsoft Exchange
「Microsoft Exchange」関連では、1件の脆弱性が修正された。今回のアップデートでは拡張保護が既定で有効になるなどの変更があるので、管理者は公式ブログのアナウンス記事も参照のこと。
- CVE-2024-21410(緊急:特権の昇格)
Microsoft Dynamics 365
「Microsoft Dynamics 365 」では、6件の脆弱性が修正された。
- CVE-2024-21328(重要:なりすまし)
- CVE-2024-21389(重要:なりすまし)
- CVE-2024-21393(重要:なりすまし)
- CVE-2024-21394(重要:なりすまし)
- CVE-2024-21395(重要:なりすまし)
- CVE-2024-21396(重要:なりすまし)
「Dynamics 365 Business Central」の各バージョンでも1件の問題が修正されている。
Microsoft .NET/.NET Framework
「.NET」におけるセキュリティ修正は、公式ブログを参照のこと。サービス拒否(DoS)の問題が2件対処されている。
Windowsのみに対応する古い「Microsoft .NET Framework」には、これらの問題は影響しないようだ。
そのほかの製品
そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。
- Skype for Business Server 2019 CU7:1件(重要)
- Skype for Business 2016:1件(重要)
- Microsoft Visio 2016:1件(重要)
- Microsoft Teams for Android:1件(重要)
- Microsoft Publisher 2016:1件(重要)
- Microsoft Entra Jira Single-Sign-On Plugin:1件(重要)
- Microsoft Defender for Endpoint for Windows:1件(重要)
- Microsoft Azure Active Directory B2C:1件(重要)
- CBL Mariner 2.0 x64:1件(不明)
- CBL Mariner 2.0 ARM:1件(不明)
- Azure Stack Hub:1件(重要)
- Azure Site Recovery:1件(重要)
- Azure Kubernetes Service Confidential Containers:2件(重要)
- Azure File Sync v17.0:1件(重要)
- Azure File Sync v16.0:1件(重要)
- Azure File Sync v15.0:1件(重要)
- Azure File Sync v14.0:1件(重要)
- Azure DevOps Server 2022.1:1件(重要)
- Azure DevOps Server 2020.1.2:1件(重要)
- Azure DevOps Server 2019.1.2:1件(重要)
- Azure Connected Machine Agent:1件(重要)