ニュース

2024年8月の「Windows Update」～致命的・悪用の報告ありも含む90件の脆弱性に対処

できるだけ早い適用を

樽井秀人

2024年8月14日 09:51

2024年8月のセキュリティ更新プログラム

　米Microsoftは8月13日（現地時間）、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした（パッチチューズデー）。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。Windows以外の製品も含め、今月のパッチではCVE番号ベースで90件の脆弱性が新たに対処されている。

　このうち、深刻度最高の「Critical」（緊急）と評価されている致命的な脆弱性は以下の9件。サードパーティー製品のものも含まれる

CVE-2024-38109：Azure Health Bot の特権昇格の脆弱性
CVE-2024-38206：Microsoft Copilot Studio の情報漏えいの脆弱性
CVE-2024-38166：Microsoft Dynamics 365 のクロスサイトスクリプトの脆弱性
CVE-2022-3775：Redhat: CVE-2022-3775 grub2: Heap based out-of-bounds write when rendering certain Unicode sequences
CVE-2023-40547：Redhat: CVE-2023-40547 Shim: RCE in HTTP boot support may lead to secure boot bypass
CVE-2024-38159：Windows ネットワーク仮想化のリモートでコードが実行される脆弱性
CVE-2024-38160：Windows ネットワーク仮想化のリモートでコードが実行される脆弱性
CVE-2024-38140：Windows Reliable Multicast Transport Driver (RMCAST) のリモートでコードが実行される脆弱性
CVE-2024-38063：Windows TCP/IP のリモートでコードが実行される脆弱性

　すでに悪用が確認されている脆弱性は、以下の6件。深刻度は「CVE-2024-38213」が「Moderate」にとどまることを除けば、すべて「Important」と評価されている。

CVE-2024-38189：Microsoft Project のリモートでコードが実行される脆弱性
CVE-2024-38178：スクリプトエンジンのメモリ破損の脆弱性
CVE-2024-38193：WinSock 用 Windows Ancillary Function Driver の特権の昇格の脆弱性
CVE-2024-38106：Windows カーネルの特権の昇格の脆弱性
CVE-2024-38107：Windows Power Dependency Coordinator の特権昇格の脆弱性
CVE-2024-38213：Windows Mark Of The Web セキュリティ機能のバイパスの脆弱性

　また、以下の4件は悪用の報告こそないものの、攻撃手法がすでに知られている。

CVE-2024-38200：Microsoft Office のなりすましの脆弱性
CVE-2024-38199：Windows Line Printer Daemon (LPD) サービスのリモートでコードが実行される脆弱性
CVE-2024-21302：Windows 保護カーネルモードの特権の昇格の脆弱性
CVE-2024-38202：Windows Update スタックの特権の昇格の脆弱性

　深刻度の評価は「Important」だが、今後の悪用に備えるためにもできるだけ早い対処が望ましい。

Windows 10/11およびWindows Server 2016/2019/2022

　最大深刻度は「緊急」（リモートでコードが実行される）。

Windows 11 バージョン 23H2：KB5041585
Windows 11 バージョン 22H2：KB5041585
Windows 11 バージョン 21H2：KB5041592
Windows 10 バージョン 22H2：KB5041580
Windows Server 2022：KB5041160
Windows Server 2019：KB5041578
Windows Server 2016：KB5041773

　「Windows 11 バージョン 23H2/22H2」におけるハイライトは以下の通り。

2024年7月非セキュリティプレビュー更新プログラムにおける改善の一部
2024年7月のセキュリティ更新プログラムを適用すると、OSの再起動時に「BitLocker」の回復キーが必要になる問題を解決
Windows WLAN AutoConfig サービスの特権の昇格の脆弱性（CVE-2024-38143）に対処。ロック画面でWi-Fiへ接続するときに「Windowsユーザーアカウントを使用する」チェックボックスは利用できない
レジストリキー「NetJoinLegacyAccountReuse」が削除。セキュリティ強化の一環

　なお、「Windows 11 バージョン 23H2」と「Windows 11 バージョン 22H2」のパッチは共通。「イネーブルメントパッケージ」（eKB：有効化パッケージ）と呼ばれる小さなパッチで機能の有効・無効を切り替えているだけなので、アップグレードは比較的短時間で済む。

　また、「Windows 11 バージョン 21H2」（Enterprise、Education、およびIoT Enterpriseエディション）と「Windows 11 バージョン 22H2」（HomeおよびProエディション）は、米国時間10月8日をもってサービスを終了する。サービス終了後はセキュリティパッチなどの配信が行われなくなるため、利用の継続はお勧めできない。後継バージョンへのアップグレードを急ぎたい。