ニュース
Microsoft、2024年10月セキュリティ更新を公開 ~「バージョン 24H2」は初のパッチ
ゼロデイを含む117件の問題へ新たに対処
2024年10月9日 09:05
米Microsoftは10月8日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー)。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。Windows以外の製品も含め、今月のパッチではCVE番号ベースで117件(サードパーティーのものも含めれば121件)の脆弱性が新たに対処されている。
このうち、すでに悪用が報告されている脆弱性は以下の通り。
- CVE-2024-43572:Microsoft 管理コンソールのリモートでコードが実行される脆弱性
- CVE-2024-43573:Windows MSHTML Platform Spoofing Vulnerability
深刻度はいずれも「Moderate」にとどまるが、警戒を要する。また、以下の3件の脆弱性は攻撃手法が明らかにされている。
- CVE-2024-6197:オープン ソース Curl のリモートでコードが実行される脆弱性
- CVE-2024-20659:Windows Hyper-V のセキュリティ機能のバイパスの脆弱性
- CVE-2024-43583:Winlogon の特権の昇格の脆弱性
悪用の報告はまだないが、できるだけ早い対応が必要だ。深刻度の評価はいずれも「Important」。なお、深刻度が最高の「Critical」と評価されているのは、以下の3件だ。
- CVE-2024-43468:Microsoft Configuration Manager のリモートでコードが実行される脆弱性
- CVE-2024-43582:リモート デスクトップ プロトコル サーバーのリモートでコードが実行される脆弱性
- CVE-2024-43488:Visual Studio コード Arduino 拡張機能のリモートでコードが実行される脆弱性
Windows 10/11およびWindows Server 2016/2019/2022
最大深刻度は「緊急」(リモートでコードが実行される)。今月から「Windows 11 2024 Update」(バージョン 24H2)向け更新プログラムの提供も開始される。
- Windows 11 バージョン 24H2:KB5044284
- Windows 11 バージョン 23H2:KB5044285
- Windows 11 バージョン 22H2:KB5044285
- Windows 11 バージョン 21H2:KB5044280
- Windows 10 バージョン 22H2:KB5044273
- Windows Server 2022:KB5044281
- Windows Server 2019:KB5044277
- Windows Server 2016:KB5044293
これらの更新プログラムには、先月末にリリースされたプレビュー更新プログラムの内容に加え、セキュリティ修正が含まれる。Windows 11における目玉はロック画面のメディアコントロール、Windows 10のハイライトは[スタート]画面のアップデートだ。一部環境から段階的に展開される。
Windows 11のプレビューパッチで再起動の繰り返しやブルースクリーンが発生する問題は解決されているとのこと。
なお、「Windows 11 バージョン 21H2」Enterprise/Educationエディション、「Windows 11 バージョン 22H2」Pro/Homeエディションのサービスは終了した。セキュリティパッチなどの配信が行われなくなるため、利用の継続はお勧めできない。後継バージョンへのアップグレードを急ぎたい。
Microsoft Office関連のソフトウェア
「Microsoft Office」関連のセキュリティ修正に関しては、以下のドキュメントを参照のこと。
Microsoft Edge
「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間10月4日にリリースされたv129.0.2792.79。
ツールバーに「更新」という赤い文字が表示されたら、すぐにアップデートを実施しておきたい。
Microsoft Visual Studio
「Microsoft Visual Studio」関連では、6件の脆弱性が修正された。
- CVE-2024-38229(重要:リモートでコードが実行される)
- CVE-2024-43483(重要:サービス拒否)
- CVE-2024-43484(重要:サービス拒否)
- CVE-2024-43485(重要:サービス拒否)
- CVE-2024-43590(重要:特権の昇格)
- CVE-2024-43603(重要:サービス拒否)
以下のバージョンがリリースされており、最新版へのアップデートが推奨されている。「Visual Studio 2017」以降であれば「Microsoft Update」経由で更新を適用することも可能だ。
- Microsoft Visual Studio 2015 Update 3
- Microsoft Visual Studio 2017 version 15.9
- Microsoft Visual Studio 2019 version 16.11
- Microsoft Visual Studio 2022 version 17.6
- Microsoft Visual Studio 2022 version 17.8
- Microsoft Visual Studio 2022 version 17.10
- Microsoft Visual Studio 2022 version 17.11
Microsoft SharePoint Server
「Microsoft SharePoint Server 2019」などで、1件の脆弱性が修正されている。
- CVE-2024-43503(重要:特権の昇格)
Microsoft .NET Framework/.NET
「.NET Framework」と「.NET」に関するセキュリティアップデートについては、公式ブログを参照のこと。CVE番号ベースで4件の脆弱性が修正されている。
そのほかの製品
そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。
- Visual Studio Code:2件(緊急)
- Visual C++ Redistributable Installer:1件(重要)
- Remote Desktop client for Windows Desktop:1件(重要)
- Power BI Report Server - May 2024:2件(重要)
- Microsoft Outlook for Android:1件(重要)
- Microsoft Defender for Endpoint for Linux:1件(重要)
- Microsoft Configuration Manager 2403:1件(緊急)
- Microsoft Configuration Manager 2303:1件(緊急)
- DeepSpeed:1件(重要)
- CBL Mariner 2.0 x64:42件(重要)
- CBL Mariner 2.0 ARM:42件(重要)
- CBL Mariner 1.0 x64:7件(重要)
- CBL Mariner 1.0 ARM:7件(重要)
- Azure Stack HCI 23H2:1件(重要)
- Azure Stack HCI 22H2:1件(重要)
- Azure Service Fabric 9.1 for Linux:1件(重要)
- Azure Service Fabric 10.1 for Linux:1件(重要)
- Azure Service Fabric 10.0 for Linux:1件(重要)
- Azure Service Connector:1件(重要)
- Azure Monitor Agent:1件(重要)
- Azure Linux 3.0 x64:29件(重要)
- Azure Linux 3.0 ARM:29件(重要)
- Azure CLI:1件(重要)
