Microsoft、2024年10月セキュリティ更新を公開 ～「バージョン 24H2」は初のパッチ

2024年10月のセキュリティ更新プログラム

　米Microsoftは10月8日（現地時間）、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした（パッチチューズデー）。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。Windows以外の製品も含め、今月のパッチではCVE番号ベースで117件（サードパーティーのものも含めれば121件）の脆弱性が新たに対処されている。

　このうち、すでに悪用が報告されている脆弱性は以下の通り。

• CVE-2024-43572：Microsoft 管理コンソールのリモートでコードが実行される脆弱性
• CVE-2024-43573：Windows MSHTML Platform Spoofing Vulnerability

　深刻度はいずれも「Moderate」にとどまるが、警戒を要する。また、以下の3件の脆弱性は攻撃手法が明らかにされている。

• CVE-2024-6197：オープン ソース Curl のリモートでコードが実行される脆弱性
• CVE-2024-20659：Windows Hyper-V のセキュリティ機能のバイパスの脆弱性
• CVE-2024-43583：Winlogon の特権の昇格の脆弱性

　悪用の報告はまだないが、できるだけ早い対応が必要だ。深刻度の評価はいずれも「Important」。なお、深刻度が最高の「Critical」と評価されているのは、以下の3件だ。

• CVE-2024-43468：Microsoft Configuration Manager のリモートでコードが実行される脆弱性
• CVE-2024-43582：リモート デスクトップ プロトコル サーバーのリモートでコードが実行される脆弱性
• CVE-2024-43488：Visual Studio コード Arduino 拡張機能のリモートでコードが実行される脆弱性

Windows 10/11およびWindows Server 2016/2019/2022

　最大深刻度は「緊急」（リモートでコードが実行される）。今月から「Windows 11 2024 Update」（バージョン 24H2）向け更新プログラムの提供も開始される。

• Windows 11 バージョン 24H2：KB5044284
• Windows 11 バージョン 23H2：KB5044285
• Windows 11 バージョン 22H2：KB5044285
• Windows 11 バージョン 21H2：KB5044280
• Windows 10 バージョン 22H2：KB5044273
• Windows Server 2022：KB5044281
• Windows Server 2019：KB5044277
• Windows Server 2016：KB5044293

　これらの更新プログラムには、先月末にリリースされたプレビュー更新プログラムの内容に加え、セキュリティ修正が含まれる。Windows 11における目玉はロック画面のメディアコントロール、Windows 10のハイライトは［スタート］画面のアップデートだ。一部環境から段階的に展開される。

　Windows 11のプレビューパッチで再起動の繰り返しやブルースクリーンが発生する問題は解決されているとのこと。

　なお、「Windows 11 バージョン 21H2」Enterprise/Educationエディション、「Windows 11 バージョン 22H2」Pro/Homeエディションのサービスは終了した。セキュリティパッチなどの配信が行われなくなるため、利用の継続はお勧めできない。後継バージョンへのアップグレードを急ぎたい。

Microsoft Office関連のソフトウェア

　「Microsoft Office」関連のセキュリティ修正に関しては、以下のドキュメントを参照のこと。

• Release notes for Microsoft Office security updates - Office release notes
• October 2024 updates for Microsoft Office - Microsoft サポート

Microsoft Edge

　「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間10月4日にリリースされたv129.0.2792.79。

　ツールバーに「更新」という赤い文字が表示されたら、すぐにアップデートを実施しておきたい。

Microsoft Visual Studio

　「Microsoft Visual Studio」関連では、6件の脆弱性が修正された。

• CVE-2024-38229（重要：リモートでコードが実行される）
• CVE-2024-43483（重要：サービス拒否）
• CVE-2024-43484（重要：サービス拒否）
• CVE-2024-43485（重要：サービス拒否）
• CVE-2024-43590（重要：特権の昇格）
• CVE-2024-43603（重要：サービス拒否）

　以下のバージョンがリリースされており、最新版へのアップデートが推奨されている。「Visual Studio 2017」以降であれば「Microsoft Update」経由で更新を適用することも可能だ。

• Microsoft Visual Studio 2015 Update 3
• Microsoft Visual Studio 2017 version 15.9
• Microsoft Visual Studio 2019 version 16.11
• Microsoft Visual Studio 2022 version 17.6
• Microsoft Visual Studio 2022 version 17.8
• Microsoft Visual Studio 2022 version 17.10
• Microsoft Visual Studio 2022 version 17.11

Microsoft SharePoint Server

　「Microsoft SharePoint Server 2019」などで、1件の脆弱性が修正されている。

• CVE-2024-43503（重要：特権の昇格）

Microsoft .NET Framework/.NET

　「.NET Framework」と「.NET」に関するセキュリティアップデートについては、公式ブログを参照のこと。CVE番号ベースで4件の脆弱性が修正されている。

• .NET and .NET Framework October 2024 servicing releases updates - .NET Blog

そのほかの製品

　そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。

• Visual Studio Code：2件（緊急）
• Visual C++ Redistributable Installer：1件（重要）
• Remote Desktop client for Windows Desktop：1件（重要）
• Power BI Report Server - May 2024：2件（重要）
• Microsoft Outlook for Android：1件（重要）
• Microsoft Defender for Endpoint for Linux：1件（重要）
• Microsoft Configuration Manager 2403：1件（緊急）
• Microsoft Configuration Manager 2303：1件（緊急）
• DeepSpeed：1件（重要）
• CBL Mariner 2.0 x64：42件（重要）
• CBL Mariner 2.0 ARM：42件（重要）
• CBL Mariner 1.0 x64：7件（重要）
• CBL Mariner 1.0 ARM：7件（重要）
• Azure Stack HCI 23H2：1件（重要）
• Azure Stack HCI 22H2：1件（重要）
• Azure Service Fabric 9.1 for Linux：1件（重要）
• Azure Service Fabric 10.1 for Linux：1件（重要）
• Azure Service Fabric 10.0 for Linux：1件（重要）
• Azure Service Connector：1件（重要）
• Azure Monitor Agent：1件（重要）
• Azure Linux 3.0 x64：29件（重要）
• Azure Linux 3.0 ARM：29件（重要）
• Azure CLI：1件（重要）