Pages

Tuesday, April 11, 2023

Microsoftの2023年4月セキュリティ更新、97件の脆弱性に対処 ~すでに悪用が確認されているものも/「Office 2013」のサポートは終了 - 窓の杜

tosokpopo.blogspot.com
2023年4月のセキュリティ更新プログラム

 米Microsoftは4月11日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー、Bリリース)。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。以下のMicrosoft製品に対しても、セキュリティアップデートが提供されている。

  • .NET Core
  • Azure Machine Learning
  • Azure Service Connector
  • Microsoft Bluetooth Driver
  • Microsoft Defender for Endpoint
  • Microsoft Dynamics
  • Microsoft Dynamics 365 Customer Voice
  • Microsoft Edge (Chromium-based)
  • Microsoft Graphics Component
  • Microsoft Message Queuing
  • Microsoft Office
  • Microsoft Office Publisher
  • Microsoft Office SharePoint
  • Microsoft Office Word
  • Microsoft PostScript Printer Driver
  • Microsoft Printer Drivers
  • Microsoft WDAC OLE DB provider for SQL
  • Microsoft Windows DNS
  • Visual Studio
  • Visual Studio Code
  • Windows Active Directory
  • Windows ALPC
  • Windows Ancillary Function Driver for WinSock
  • Windows Boot Manager
  • Windows Clip Service
  • Windows CNG Key Isolation Service
  • Windows Common Log File System Driver
  • Windows DHCP Server
  • Windows Enroll Engine
  • Windows Error Reporting
  • Windows Group Policy
  • Windows Internet Key Exchange (IKE) Protocol
  • Windows Kerberos
  • Windows Kernel
  • Windows Layer 2 Tunneling Protocol
  • Windows Lock Screen
  • Windows Netlogon
  • Windows Network Address Translation (NAT)
  • Windows Network File System
  • Windows Network Load Balancing
  • Windows NTLM
  • Windows PGM
  • Windows Point-to-Point Protocol over Ethernet (PPPoE)
  • Windows Point-to-Point Tunneling Protocol
  • Windows Raw Image Extension
  • Windows RDP Client
  • Windows Registry
  • Windows RPC API
  • Windows Secure Boot
  • Windows Secure Channel
  • Windows Secure Socket Tunneling Protocol (SSTP)
  • Windows Transport Security Layer (TLS)
  • Windows Win32K

 今月のパッチでは、CVE番号ベースで97件の脆弱性が新たに対処された。

 悪用の事実が確認されているのは、以下の1件。深刻度は「Important」で、すべてのバージョンのWindowsに影響する。

  • CVE-2023-28252:Windows 共通ログ ファイル システム ドライバーの特権の昇格の脆弱性

 加えて、以下の7件が深刻度最高の「Critical」と評価おり、とくに警戒を要する。

  • CVE-2023-28231:DHCP Server Service のリモートでコードが実行される脆弱性
  • CVE-2023-28219:レイヤー 2 トンネリング プロトコルのリモートでコードが実行される脆弱性
  • CVE-2023-28220:レイヤー 2 トンネリング プロトコルのリモートでコードが実行される脆弱性
  • CVE-2023-21554:Microsoft Message Queuing のリモートでコードが実行される脆弱性
  • CVE-2023-28291:Raw Image Extension Remote Code Execution Vulnerability
  • CVE-2023-28232:Windows Point-to-Point トンネリング プロトコルのリモートでコードが実行される脆弱性
  • CVE-2023-28250:Windows Pragmatic General Multicast (PGM) のリモートでコードが実行される脆弱性

Windows 10/11およびWindows Server 2016/2019/2022

 最大深刻度は「緊急」(リモートでコードが実行される)。セキュリティ修正に加え、非セキュリティプレビュー更新プログラムの内容が含まれている。

 なお、Enterprise/Education版「Windows 10 バージョン 20H2」のサービス終了が5月9日(米国時間)に予定されている。まだ利用中の場合は、後継バージョンへの移行を早めに計画したい。

 また、「Windows 10 バージョン 21H2」のサービス期間も6月13日(米国時間)に満了を迎える。こちらにも注意したい。

Windows Server 2012/2012 R2

 最大深刻度は「緊急」(リモートでコードが実行される)。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。

  • Windows Server 2012 R2 マンスリー ロールアップ:KB5025285
  • Windows Server 2012 R2 セキュリティのみ:KB5025288
  • Windows Server 2012 マンスリー ロールアップ:KB5025287
  • Windows Server 2012 セキュリティのみ:KB5025272

 Windows Server 2012/2012 R2のサポートは10月10日まで。有償で拡張セキュリティアップデート(ESU)を購入すれば、2026年10月13日までパッチの提供をうけることができる。

Microsoft Office関連のソフトウェア

 最大深刻度は「重要」(リモートでコードが実行される)。詳細は以下のドキュメントを参照のこと。

 なお、「Office 2013」のサポートは終了した。今後はセキュリティパッチが提供されないため、利用は推奨されない。後継製品への移行が必要だ。

Microsoft Edge

 「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間4月10日にリリースされたv112.0.1722.34。

 Android版でも2件の脆弱性が修正されているので注意したい。

Microsoft Visual Studio

 「Microsoft Visual Studio」では、5件の脆弱性が修正された。「Visual Studio 2022」v17.0/17.2/17.4/17.5、「Visual Studio 2019」v16.11、「Visual Studio 2017」v15.9にセキュリティアップデートが提供されている。

Microsoft SQL Server

 「Microsoft SQL Server」関連では、1件の脆弱性が修正されている。

  • CVE-2023-23384(重要:リモートでコードが実行される)

Microsoft SharePoint

 「Microsoft SharePoint」関連の修正も、1件。

Microsoft Dynamics 365

 「Microsoft Dynamics 365」関係では、2件の脆弱性が修正された。

.NET

 「.NET 6.0」「.NET 7.0」では、1件の脆弱性が修正されている。

  • CVE-2023-28260(重要:リモートでコードが実行される)

そのほかの製品

 そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。

  • Visual Studio Code:1件(重要:1件)
  • Remote Desktop client for Windows Desktop:1件(重要:1件)
  • Raw Image Extension:2件(緊急:1件、重要:1件)
  • Microsoft OLE DB Driver 19 for SQL Server:2件(重要:2件)
  • Microsoft OLE DB Driver 18 for SQL Server:2件(重要:2件)
  • Microsoft ODBC Driver 18 for SQL Server:2件(重要:2件)
  • Microsoft ODBC Driver 19 for SQL Server:2件(重要:2件)
  • Microsoft Malware Protection Engine:1件(重要:1件)
  • Azure Service Connector:1件(重要:1件)
  • Azure Machine Learning:1件(重要:1件)

Adblock test (Why?)


からの記事と詳細 ( Microsoftの2023年4月セキュリティ更新、97件の脆弱性に対処 ~すでに悪用が確認されているものも/「Office 2013」のサポートは終了 - 窓の杜 )
https://ift.tt/qD704lo
科学&テクノロジー

No comments:

Post a Comment