ニュース

2024年2月の「Windows Update」、2件のゼロデイを含む72件の脆弱性へ新たに対処

「Copilot in Windows」のアイコンはタスクトレイの右側に

2024年2月のセキュリティ更新プログラム

 米Microsoftは2月9日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー)。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。Windows以外の製品も含め、今月のパッチではCVE番号ベースで72件の脆弱性が新たに対処されている。

 このうち、すでに悪用が確認されている脆弱性は以下の2件。深刻度はそれほどでもないが、できるだけ早い対処が望ましい。

  • CVE-2024-21412:インターネット ショートカット ファイルのセキュリティ機能のバイパスの脆弱性(Important)
  • CVE-2024-21351:Windows SmartScreen のセキュリティ機能のバイパスの脆弱性(Moderate)

 加えて、以下の5件が深刻度最高の「Critical」と評価されている。

  • CVE-2024-21380:Microsoft Dynamics Business Central/NAV の情報漏えいの脆弱性
  • CVE-2024-21410:Microsoft Exchange Server の特権の昇格の脆弱性
  • CVE-2024-21413:Microsoft Outlook のリモートでコードが実行される脆弱性
  • CVE-2024-20684:Windows Hyper-V のサービス拒否の脆弱性
  • CVE-2024-21357:Windows Pragmatic General Multicast (PGM) のリモートでコードが実行される脆弱性

Windows 10/11およびWindows Server 2016/2019/2022

 最大深刻度は「緊急」(リモートでコードが実行される)。「バージョン 23H2/22H2」におけるハイライトは以下の通り。

  • 「Copilot in Windows」のアイコンがタスクトレイの右側に。これに伴い、タスクバーの設定ページにある[デスクトップを表示するには、タスクバーの隅を選択します]というオプションは初期状態で無効化される。段階的にロールアウトされるため、変更が適用されるタイミングはデバイスによって異なる
  • ナチュラルボイスを使用すると「ナレーター」アプリの読み上げが遅くなる問題を解決
  • コントローラーアクセサリーを接続したPCを再起動もしくはシャットダウンすると「エクスプローラー」が応答しなくなる問題に対処
  • デバイスメタデータのダウンロードに影響する問題が解決され、HTTPSを介したWindowsメタデータおよびインターネット サービス(WMIS)からのダウンロードの安全性が向上

 なお、「Windows 11 バージョン 23H2」と「Windows 11 バージョン 22H2」のパッチは共通。「イネーブルメント パッケージ」(eKB:有効化パッケージ)と呼ばれる小さなパッチで機能の有効・無効を切り替えているだけなので、アップグレードは比較的短時間で済む。

Microsoft Office関連のソフトウェア

 最大深刻度は「緊急」(リモートでコードが実行される)。詳細は以下のドキュメントを参照のこと。

Microsoft Edge

 「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間2月8日にリリースされたv121.0.2277.112。

Microsoft Visual Studio

 「Microsoft Visual Studio」では、2件の脆弱性が修正された。

 以下のバージョンでアップデートが提供中だ。

  • Microsoft Visual Studio 2022 version 17.8
  • Microsoft Visual Studio 2022 version 17.6
  • Microsoft Visual Studio 2022 version 17.4

Microsoft Exchange

 「Microsoft Exchange」関連では、1件の脆弱性が修正された。今回のアップデートでは拡張保護が既定で有効になるなどの変更があるので、管理者は公式ブログのアナウンス記事も参照のこと。

Microsoft Dynamics 365

 「Microsoft Dynamics 365 」では、6件の脆弱性が修正された。

 「Dynamics 365 Business Central」の各バージョンでも1件の問題が修正されている。

Microsoft .NET/.NET Framework

 「.NET」におけるセキュリティ修正は、公式ブログを参照のこと。サービス拒否(DoS)の問題が2件対処されている。

 Windowsのみに対応する古い「Microsoft .NET Framework」には、これらの問題は影響しないようだ。

そのほかの製品

 そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。

  • Skype for Business Server 2019 CU7:1件(重要)
  • Skype for Business 2016:1件(重要)
  • Microsoft Visio 2016:1件(重要)
  • Microsoft Teams for Android:1件(重要)
  • Microsoft Publisher 2016:1件(重要)
  • Microsoft Entra Jira Single-Sign-On Plugin:1件(重要)
  • Microsoft Defender for Endpoint for Windows:1件(重要)
  • Microsoft Azure Active Directory B2C:1件(重要)
  • CBL Mariner 2.0 x64:1件(不明)
  • CBL Mariner 2.0 ARM:1件(不明)
  • Azure Stack Hub:1件(重要)
  • Azure Site Recovery:1件(重要)
  • Azure Kubernetes Service Confidential Containers:2件(重要)
  • Azure File Sync v17.0:1件(重要)
  • Azure File Sync v16.0:1件(重要)
  • Azure File Sync v15.0:1件(重要)
  • Azure File Sync v14.0:1件(重要)
  • Azure DevOps Server 2022.1:1件(重要)
  • Azure DevOps Server 2020.1.2:1件(重要)
  • Azure DevOps Server 2019.1.2:1件(重要)
  • Azure Connected Machine Agent:1件(重要)