ニュース

2024年7月の「Windows Update」がリリース、「Copilot in Windows」が単体アプリに

「Critical」5件、ゼロデイ2件を含む139件の脆弱性に対処

樽井秀人

2024年7月10日 09:10

2024年7月のセキュリティ更新プログラム

　米Microsoftは7月9日（現地時間）、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした（パッチチューズデー）。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。Windows以外の製品も含め、今月のパッチではCVE番号ベースで139件の脆弱性が新たに対処されている。

　このうち、深刻度最高の「Critical」（緊急）と評価されている致命的な脆弱性は以下の5件。

CVE-2024-38023：Microsoft SharePoint Server のリモートでコードが実行される脆弱性
CVE-2024-38060：Windows Imaging Component Remote Code Execution Vulnerability
CVE-2024-38074：Windows リモートデスクトップライセンスサービスのリモートコード実行に対する脆弱性
CVE-2024-38076：Windows リモートデスクトップライセンスサービスのリモートコード実行に対する脆弱性
CVE-2024-38077：Windows リモートデスクトップライセンスサービスのリモートコード実行に対する脆弱性

　すでに悪用が確認されている脆弱性は、以下の2件。

CVE-2024-38080：Windows Hyper-V の特権の昇格の脆弱性
CVE-2024-38112：Windows MSHTML Platform Spoofing Vulnerability

　以下の2件は悪用の報告こそないものの、攻撃手法がすでに知られている。

CVE-2024-37985：Arm 独自のプリフェッチャーの体系的な識別と特性評価
CVE-2024-35264：.NET と Visual Studio のリモートコードが実行される脆弱性

　これら4件の脆弱性は深刻度の評価こそ「Important」にとどまるものの、できるだけ早い対処が望ましい。

Windows 10/11およびWindows Server 2016/2019/2022

　最大深刻度は「緊急」（リモートでコードが実行される）。

Windows 11 バージョン 23H2：KB5040442
Windows 11 バージョン 22H2：KB5040442
Windows 11 バージョン 21H2：KB5040431
Windows 10 バージョン 22H2：KB5040427
Windows Server 2022：KB5040437
Windows Server 2019：KB5040430
Windows Server 2016：KB5040434

　「Windows 11 バージョン 23H2/22H2」におけるハイライトは以下の通り。

Windows 11向け2024年6月プレビューパッチ「KB5039302」における改善の一部
「Copilot in Windows」が単体アプリに。ウィンドウの移動、サイズの変更、位置の調整、スナップなどが行えるほか、タスクバーにピン留めも可能。段階的に展開される
「Windows Installer」でアプリケーションを修復する際、UACが視覚情報の入力を要求しない問題を解決
「Remote Desktop MultiPoint Server」で競合状態が発生すると、サービスが応答しなくなる問題を修正

　なお、「Windows 11 バージョン 23H2」と「Windows 11 バージョン 22H2」のパッチは共通。「イネーブルメントパッケージ」（eKB：有効化パッケージ）と呼ばれる小さなパッチで機能の有効・無効を切り替えているだけなので、アップグレードは比較的短時間で済む。

　また、「Windows 11 バージョン 21H2」（Enterprise、Education、およびIoT Enterpriseエディション）と「Windows 11 バージョン 22H2」（HomeおよびProエディション）は、米国時間10月8日をもってサービスを終了する。サービス終了後はセキュリティパッチなどの配信が行われなくなるため、利用の継続はお勧めできない。後継バージョンへのアップグレードを急ぎたい。