米Microsoftは9月12日(現地時間)、すべてのサポート中バージョンのWindowsに対し、月例のセキュリティ更新プログラムをリリースした(パッチチューズデー)。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。今月のパッチでは、Windows以外の製品も含めCVE番号ベースで59件の脆弱性が新たに対処されている。
このうち、すでに悪用が確認されているゼロデイ脆弱性は2件。
- CVE-2023-36761:Microsoft Word の情報漏えいの脆弱性
- CVE-2023-36802:Microsoft Stream Services サービスのプロキシの特権の昇格の脆弱性
「CVE-2023-36761」に関しては、攻撃手法も明らかにされている。深刻度の評価は「Important」にとどまるが、できるだけ早い対処が必要だ。
深刻度が「Critical」と評価されている致命的な脆弱性は、以下の5件。
- CVE-2023-38148:インターネット接続の共有 (ICS) のリモートでコードが実行される脆弱性
- CVE-2023-29332:Microsoft Azure Kubernetes サービスの特権の昇格の脆弱性
- CVE-2023-36792:Visual Studio のリモートでコードが実行される脆弱性
- CVE-2023-36793:Visual Studio のリモートでコードが実行される脆弱性
- CVE-2023-36796:Visual Studio のリモートでコードが実行される脆弱性
Windows 10/11およびWindows Server 2016/2019/2022
最大深刻度は「緊急」(リモートでコードが実行される)。セキュリティ修正に加え、非セキュリティプレビュー更新プログラムの一部が含まれている。
プレビューパッチではごく一部の環境でブルースクリーンが発生する問題が報告され、話題となっていたが、すでに原因は特定されている。セキュリティパッチが配信されない場合は、マザーボードメーカーから対策版のBIOSが提供されていないか確認するとよいだろう。
なお、Home/Pro版「Windows 11 バージョン 21H2」は10月10日でサービス終了となる。後継バージョンへの移行が必要だ。
Windows Server 2012/2012 R2
最大深刻度は「緊急」(リモートでコードが実行される)。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。
- Windows Server 2012 R2 マンスリー ロールアップ:KB5030269
- Windows Server 2012 R2 セキュリティのみ:KB5030287
- Windows Server 2012 マンスリー ロールアップ:KB5030278
- Windows Server 2012 セキュリティのみ:KB5030279
Windows Server 2012/2012 R2のサポートは10月10日まで。有償で拡張セキュリティアップデート(ESU)を購入すれば、2026年10月13日までパッチの提供をうけることができる。
Microsoft Office関連のソフトウェア
最大深刻度は「緊急」(リモートでコードが実行される)。詳細は以下のドキュメントを参照のこと。
なお、「Office 2019」は10月10日でメインストリームサポートが打ち切られる。セキュリティ対策のみの延長サポートリリースは継続されるが、「Exchange Online」「SharePoint Online」「OneDrive for Business」などへの接続が保証されなくなるので注意したい。
Microsoft Edge
「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間9月12日にリリースされたv116.0.1938.81。ゼロデイ脆弱性が修正されているので、できるだけ早いアップデートを心掛けたい。
Microsoft Visual Studio
「Microsoft Visual Studio」における修正は、以下の通り。それぞれ最新版へのアップデートが必要だ。
- Microsoft Visual Studio 2022 version 17.7:7件(緊急3件、重要4件)
- Microsoft Visual Studio 2022 version 17.6:5件(緊急2件、重要3件)
- Microsoft Visual Studio 2022 version 17.4:6件(緊急3件、重要3件)
- Microsoft Visual Studio 2022 version 17.2:6件(緊急3件、重要3件)
- Microsoft Visual Studio 2019 version 16.11:5件(緊急2件、重要3件)
- Microsoft Visual Studio 2017 version 15.9:4件(緊急3件、重要1件)
Microsoft SharePoint Server
「Microsoft SharePoint Server」関連では、2件の脆弱性が修正された。
Microsoft Exchange Server
「Microsoft Exchange Server」関連では、5件の脆弱性が修正されている。
Microsoft Dynamics 365
「Microsoft Dynamics 365」関連では、2件の脆弱性が修正された。
Microsoft .NET
「.NET 7.0」「.NET 6.0」では、5件の脆弱性が修正された。
Microsoft .NET Framework
「Microsoft .NET Framework」関連では、5件の脆弱性が修正された。
- CVE-2023-36792(緊急:リモートでコードが実行される)
- CVE-2023-36793(緊急:リモートでコードが実行される)
- CVE-2023-36796(緊急:リモートでコードが実行される)
- CVE-2023-36788(重要:リモートでコードが実行される)
- CVE-2023-36794(重要:リモートでコードが実行される)
そのほかの製品
そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。
- Visual Studio Code:2件(重要)
- Microsoft Identity Linux Broker:1件(重要)
- Microsoft Defender Security Intelligence Updates:1件(重要)
- Azure Kubernetes Service:1件(緊急)
- Azure HDInsights:1件(重要)
- Azure DevOps Server 2022.0.1:2件(重要)
- Azure DevOps Server 2020.1.2:2件(重要)
- Azure DevOps Server 2020.0.2:2件(重要)
- Azure DevOps Server 2019.1.2:2件(重要)
- Azure DevOps Server 2019.0.1:2件(重要)
- 3D Viewer:4件(重要)
- 3D Builder:4件(重要)
からの記事と詳細 ( 2023年9月の「Windows Update」が公開 ~ゼロデイ2件を含む59件の脆弱性に対処/深刻度「Critical」はインターネット接続共有や「Visual Studio」など5件 - 窓の杜 )
https://ift.tt/39RE5Oi
科学&テクノロジー
No comments:
Post a Comment