「Windows Update」に致命的なゼロデイ脆弱性 ～Microsoftの2024年9月セキュリティパッチ

2024年9月のセキュリティ更新プログラム

　米Microsoftは9月10日（現地時間）、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした（パッチチューズデー）。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。Windows以外の製品も含め、今月のパッチではCVE番号ベースで79件の脆弱性が新たに対処されている。

　このうち、すでに悪用が報告されている脆弱性は以下の通り。

• CVE-2024-38217：Windows Mark Of The Web セキュリティ機能のバイパスの脆弱性（実証コードあり、悪用の事実を確認済み）
• CVE-2024-43491：Microsoft Windows Update のリモートでコードが実行される脆弱性（悪用の事実を確認済み）
• CVE-2024-38226：Microsoft Publisher のセキュリティ機能のバイパスの脆弱性（悪用の事実を確認済み）
• CVE-2024-38014：Windows インストーラーの特権の昇格の脆弱性（悪用の事実を確認済み）
• CVE-2024-43461：Windows MSHTML Platform Spoofing Vulnerability（Zero Day Initiativeが悪用の事実ありと主張）

　このうち、「Windows Update」のリモートコード実行の脆弱性（CVE-2024-43491）は深刻度最高の「Critical」（緊急、CVSS 3.1の基本値9.8）と評価されており、警戒を要する。

　また、このほかにも6件の脆弱性が深刻度「Critical」と評価されている。WindowsのNAT機能や「SharePoint」、「Azure Stack Hub」などに影響し、できるだけ早い対応が必要だ。

Windows 10/11およびWindows Server 2016/2019/2022

　最大深刻度は「緊急」（リモートでコードが実行される）。

• Windows 11 バージョン 23H2：KB5043076
• Windows 11 バージョン 22H2：KB5043076
• Windows 11 バージョン 21H2：KB5043067
• Windows 10 バージョン 22H2：KB5043064
• Windows Server 2022：KB5042881
• Windows Server 2019：KB5043050
• Windows Server 2016：KB5043051

　「Windows 11 バージョン 23H2/22H2」におけるハイライトは以下の通り。

• プレビューパッチ「KB5041587」における改善
• アプリケーションの修復時に「Windows Installer」が資格情報を要求しない問題に対処

　なお、「Windows 11 バージョン 23H2」と「Windows 11 バージョン 22H2」のパッチは共通。「イネーブルメント パッケージ」（eKB：有効化パッケージ）と呼ばれる小さなパッチで機能の有効・無効を切り替えているだけなので、アップグレードは比較的短時間で済む。

　また、「Windows 11 バージョン 21H2」（Enterprise、Education、およびIoT Enterpriseエディション）と「Windows 11 バージョン 22H2」（HomeおよびProエディション）は、米国時間10月8日をもってサービスを終了する。サービス終了後はセキュリティパッチなどの配信が行われなくなるため、利用の継続はお勧めできない。後継バージョンへのアップグレードを急ぎたい。

Microsoft Office関連のソフトウェア

　「Microsoft Office」関連のセキュリティ修正に関しては、以下のドキュメントを参照のこと。

• Release notes for Microsoft Office security updates - Office release notes
• September 2024 updates for Microsoft Office - Microsoft Support

Microsoft Edge

　「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間9月3日にリリースされたv128.0.2739.63。

　ツールバーに「更新」という赤い文字が表示されたら、すぐにアップデートを実施しておきたい。

Microsoft SQL Server

　「Microsoft SQL Server」関連では、13件の脆弱性が修正された。

• CVE-2024-26186（重要：リモートでコードが実行される）
• CVE-2024-26191（重要：リモートでコードが実行される）
• CVE-2024-37335（重要：リモートでコードが実行される）
• CVE-2024-37337（重要：情報漏洩）
• CVE-2024-37338（重要：リモートでコードが実行される）
• CVE-2024-37339（重要：リモートでコードが実行される）
• CVE-2024-37340（重要：リモートでコードが実行される）
• CVE-2024-37341（重要：特権の昇格）
• CVE-2024-37342（重要：情報漏洩）
• CVE-2024-37965（重要：特権の昇格）
• CVE-2024-37966（重要：情報漏洩）
• CVE-2024-37980（重要：特権の昇格）
• CVE-2024-43474（重要：情報漏洩）

Microsoft SharePoint Server

　「Microsoft SharePoint Server」では、5件の脆弱性が修正された。深刻度「Critical」の脆弱性が含まれているので注意したい。

• CVE-2024-38018（緊急：リモートでコードが実行される）
• CVE-2024-43464（緊急：リモートでコードが実行される）
• CVE-2024-38227（重要：リモートでコードが実行される）
• CVE-2024-38228（重要：リモートでコードが実行される）
• CVE-2024-43466（重要：サービス拒否）

Microsoft Dynamics 365

　「Microsoft Dynamics 365」関連では、1件の脆弱性が修正されている。

• CVE-2024-38225（重要：特権の昇格）

そのほかの製品

　そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。

• Power Automate for Desktop：1件（重要）
• Outlook for iOS：1件（重要）
• Microsoft AutoUpdate for Mac：1件（重要）
• Azure Web Apps：1件（緊急）
• Azure Stack Hub：2件（緊急）
• Azure Network Watcher VM Extension for Windows：2件（重要）
• Azure CycleCloud 8.6.3：1件（重要）
• Azure CycleCloud 8.6.2：1件（重要）
• Azure CycleCloud 8.6.1：1件（重要）
• Azure CycleCloud 8.6.0：1件（重要）
• Azure CycleCloud 8.5.0：1件（重要）
• Azure CycleCloud 8.4.2：1件（重要）
• Azure CycleCloud 8.4.1：1件（重要）
• Azure CycleCloud 8.4.0：1件（重要）
• Azure CycleCloud 8.3.0：1件（重要）
• Azure CycleCloud 8.2.1：1件（重要）
• Azure CycleCloud 8.2.0：1件（重要）
• Azure CycleCloud 8.1.1：1件（重要）
• Azure CycleCloud 8.1.0：1件（重要）
• Azure CycleCloud 8.0.2：1件（重要）
• Azure CycleCloud 8.0.1：1件（重要）
• Azure CycleCloud 8.0.0：1件（重要）