米Microsoftは7月11日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー)。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。今月のパッチでは、Windows以外の製品も含めCVE番号ベースで130件の脆弱性が新たに対処されている。
このうち、すでに悪用の事実が確認されているゼロデイ脆弱性は以下の5件。深刻度はいずれも「Important」と評価されている。
- CVE-2023-36884:Office and Windows HTML Remote Code Execution Vulnerability
- CVE-2023-35311:Microsoft Outlook Security Feature Bypass Vulnerability
- CVE-2023-36874:Windows Error Reporting Service Elevation of Privilege Vulnerability
- CVE-2023-32046:Windows MSHTML Platform Elevation of Privilege Vulnerability
- CVE-2023-32049:Windows SmartScreen Security Feature Bypass Vulnerability
「CVE-2023-36884」に関しては攻撃方法も公になっており、警戒が必要。
また、深刻度が「Critical」と評価されている致命的な脆弱性も9件含まれている。まだ悪用は確認されていないものの、万が一の際は影響が大きいと見込まれているため、できるだけ早い対処が必要だ。
- CVE-2023-32057:Microsoft Message Queuing Remote Code Execution Vulnerability
- CVE-2023-33157:Microsoft SharePoint Remote Code Execution Vulnerability
- CVE-2023-33160:Microsoft SharePoint Server Remote Code Execution Vulnerability
- CVE-2023-35315:Windows Layer-2 Bridge Network Driver Remote Code Execution Vulnerability
- CVE-2023-35297:Windows Pragmatic General Multicast (PGM) Remote Code Execution Vulnerability
- CVE-2023-35352:Windows Remote Desktop Security Feature Bypass Vulnerability
- CVE-2023-35365:Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability
- CVE-2023-35366:Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability
- CVE-2023-35367:Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability
なお、今月で「Windows Embedded 8 Standard」などのサポートが打ち切られる点には注意したい。後継となる製品やバージョン、代替ソリューションへの移行が必要だ。
Windows 10/11およびWindows Server 2016/2019/2022
最大深刻度は「緊急」(リモートでコードが実行される)。セキュリティ修正に加え、非セキュリティプレビュー更新プログラムの内容が含まれている。
とくに「Windows 11 2022 Update」(バージョン 22H2)では3度目の大型更新が展開され、秒単位のタスクトレイ時計、日本語対応のライブキャプション、VPN接続の盾アイコンなどが利用できるようになる。
Windows Server 2012/2012 R2
最大深刻度は「緊急」(リモートでコードが実行される)。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。
- Windows Server 2012 R2 マンスリー ロールアップ:KB5028228
- Windows Server 2012 R2 セキュリティのみ:KB5028223
- Windows Server 2012 マンスリー ロールアップ:KB5028232
- Windows Server 2012 セキュリティのみ:KB5028233
Windows Server 2012/2012 R2のサポートは10月10日まで。有償で拡張セキュリティアップデート(ESU)を購入すれば、2026年10月13日までパッチの提供をうけることができる。
Microsoft Office関連のソフトウェア
最大深刻度は「重要」(リモートでコードが実行される)。詳細は以下のドキュメントを参照のこと。
Microsoft Edge
「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間6月29日にリリースされたv114.0.1823.67。
Microsoft Visual Studio
「Visual Studio」関連では、2件の脆弱性が修正された。
以下のサポート中バージョンに対し、それぞれセキュリティアップデートがリリースされている。
- Microsoft Visual Studio 2022 version 17.6
- Microsoft Visual Studio 2022 version 17.5
- Microsoft Visual Studio 2022 version 17.4
- Microsoft Visual Studio 2022 version 17.2
- Microsoft Visual Studio 2022 version 17.0(今月が最後のセキュリティパッチ)
Microsoft SharePoint
「Microsoft SharePoint」関連の修正は5件。上述の通り、深刻度「Critical」の脆弱性が含まれているので注意したい。
Microsoft Dynamics 365
「Microsoft Dynamics 365」では、2件の脆弱性が修正された。
Microsoft .NET
「.NET 6.0」「.NET 7.0」で修正された脆弱性は、以下の2件。
そのほかの製品
そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。
- Windows Admin Center:1件(重要)
- VP9 Video Extensions:1件(重要)
- Visual Studio Code - GitHub Pull Requests and Issues Extension:1件(重要)
- Raw Image Extension:1件(重要)
- PandocUpload:1件(重要)
- Paint 3D:2件(重要)
- Mono 6.12.0:1件(重要)
- Microsoft Power Apps:1件(重要)
- Microsoft Malware Protection Engine:1件(重要)
- Azure Service Fabric 9.1 for Windows:1件(重要)
- Azure Service Fabric 9.0 for Windows:1件(重要)
https://news.google.com/rss/articles/CBMiOWh0dHBzOi8vZm9yZXN0LndhdGNoLmltcHJlc3MuY28uanAvZG9jcy9uZXdzLzE1MTU3NTAuaHRtbNIBAA?oc=5
2023-07-12 00:55:00Z
2235806619
Tidak ada komentar:
Posting Komentar