2024年6月の「Windows Update」がリリース、「Critical」1件を含む49件の脆弱性に対処

2024年6月のセキュリティ更新プログラム

　米Microsoftは6月11日（現地時間）、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした（パッチチューズデー）。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。Windows以外の製品も含め、今月のパッチではCVE番号ベースで49件の脆弱性が新たに対処されている。

　このうち、深刻度最高の「Critical」（緊急）と評価されている致命的な脆弱性は以下の1件だ。

• CVE-2024-30080：Microsoft Message Queuing (MSMQ) のリモートでコードが実行される脆弱性

　攻撃手法がすでに知られていたり、悪用が確認されている脆弱性は、今のところない。ただし、サードパーティー製品にはそうした脆弱性が含まれていることがあるので、アップデートは怠らないようにしたい。

Windows 10/11およびWindows Server 2016/2019/2022

　最大深刻度は「緊急」（リモートでコードが実行される）。

• Windows 11 バージョン 23H2：KB5039212
• Windows 11 バージョン 22H2：KB5039212
• Windows 11 バージョン 21H2：KB5039213
• Windows 10 バージョン 22H2：KB5039211
• Windows Server 2022：KB5039227
• Windows Server 2019：KB5039217
• Windows Server 2016：KB5039214

　「Windows 11 バージョン 23H2/22H2」におけるハイライトは以下の通り。

• 「KB5037853」における改善の一部
• タスクバーで一時的に不具合が発生したり、応答しなくなったりする既知の不具合に対処。タスクバーが消えたりすることも
• 「lsass.exe」が応答しなくなる問題を修正。「Windows Server」に2024年4月のセキュリティ更新プログラムをインストールすると発生していた
• 「BitLocker」を有効化していると、ハイバネートからの再開が停止することがある問題に対処
• 「lsass.exe」のメモリリークを解決。Local Security Authority（Domain Policy）Remote Protocol（LSARPC）の呼び出しで発生

　なお、「Windows 11 バージョン 23H2」と「Windows 11 バージョン 22H2」のパッチは共通。「イネーブルメント パッケージ」（eKB：有効化パッケージ）と呼ばれる小さなパッチで機能の有効・無効を切り替えているだけなので、アップグレードは比較的短時間で済む。

　また、「Windows 10 バージョン 21H2」Enterprise/Educationエディションのサービスは今月が最後だ。サービス終了後はセキュリティパッチなどの配信が行われなくなるため、利用の継続はお勧めできない。後継バージョンへのアップグレードを急ぎたい。

Microsoft Office関連のソフトウェア

　「Microsoft Office」関連のセキュリティ修正に関しては、以下のドキュメントを参照のこと。

• Release notes for Microsoft Office security updates - Office release notes
• June 2024 updates for Microsoft Office - Microsoft サポート

Microsoft Edge

　「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間6月3日にリリースされたv125.0.2535.85。間もなく「Edge 126」がリリースされるので、更新に備えておこう。

　ツールバーに「更新」という赤い文字が表示されたら、すぐにアップデートを実施しておきたい。

Microsoft Visual Studio

　「Microsoft Visual Studio」では、3件の脆弱性が修正された。

• CVE-2024-29060（重要：特権の昇格）
• CVE-2024-29187（重要：特権の昇格）
• CVE-2024-30052（重要：リモートでコードが実行される）

　以下のバージョンでアップデートが提供中だ。

• Microsoft Visual Studio 2022 version 17.10
• Microsoft Visual Studio 2022 version 17.8
• Microsoft Visual Studio 2022 version 17.6
• Microsoft Visual Studio 2022 version 17.4
• Microsoft Visual Studio 2019 version 16.11
• Microsoft Visual Studio 2017 version 15.9

Microsoft SharePoint

　「Microsoft SharePoint」関連では、1件の脆弱性が修正された

• CVE-2024-30100（重要：リモートでコードが実行される）

Microsoft Dynamics 365

　「Microsoft Dynamics 365」関連では、3件の脆弱性が修正されている。

• CVE-2024-35248（重要：特権の昇格）
• CVE-2024-35249（重要：リモートでコードが実行される）
• CVE-2024-35263（重要：情報漏洩）

そのほかの製品

　そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。

• Microsoft Authentication Library：1件（重要）
• Azure Storage Movement Client Library for .NET：1件（重要）
• Azure Monitor Agent：1件（重要）
• Azure Identity Library for Python：2件（重要）
• Azure Identity Library for JavaScript：1件（重要）
• Azure Identity Library for Java：1件（重要）
• Azure Identity Library for Go：1件（重要）
• Azure Identity Library for C++：1件（重要）
• Azure Identity Library for .NET：1件（重要）
• Azure File Sync v18.0：1件（重要）
• Azure File Sync v17.0：1件（重要）
• Azure File Sync v16.0：1件（重要）
• Azure Data Science Virtual Machines for Linux：1件（重要）