マイクロソフトは、2022年10月11日(米国時間)、2022年10月のセキュリティ更新プログラム(月例パッチ)を公開した。該当するソフトウェアは以下の通り。

  • Active Directory Domain Services
  • Azure
  • Azure Arc
  • Client Server Run-time Subsystem(CSRSS)
  • Microsoft Edge(Chromiumベース)
  • Microsoft Graphicsコンポーネント
  • Microsoft Office
  • Microsoft Office SharePoint
  • Microsoft Office Word
  • SQL用Microsoft WDAC OLE DBプロバイダー
  • NuGetクライアント
  • リモートアクセスサービスPoint-to-Pointトンネリングプロトコル
  • ロール:Windows Hyper-V
  • Service Fabric
  • Visual Studio Code
  • Windows Active Directory証明書サービス
  • Windows ALPC
  • Windows CD-ROMドライバー
  • Windows COM+イベントシステムサービス
  • Windows接続ユーザーエクスペリエンスとテレメトリサービス
  • Windows CryptoAPI
  • Windows Defender
  • Windows DHCPクライアント
  • Windows分散ファイルシステム(DFS)
  • Microsoft DWM Coreライブラリ
  • Windows Event Logging Service
  • Windowsグループポリシー
  • Windowsグループポリシーの基本設定クライアント
  • Windowsインターネットキー交換(IKE)プロトコル
  • Windowsカーネル
  • Windows Local Security Authority(LSA)
  • Windowsローカルセキュリティ機関サブシステムサービス(LSASS)
  • Windowsローカルセッションマネージャー(LSM)
  • Windows NTFS
  • Windows NTLM
  • Windows ODBCドライバー
  • Windows Perception Simulation Service
  • Windows Point-to-Point Tunnelingプロトコル
  • Windows Portable Device Enumerator Service
  • Windows印刷スプーラーコンポーネント
  • Windows Resilient File System(ReFS)
  • Windowsセキュリティで保護されたチャネル
  • Windows Security Support Provider Interface
  • Windows Serverのリモートからアクセス可能なレジストリキー
  • Windows Server Service
  • Windows Storage
  • Windows TCP/IP
  • Windows USBシリアルドライバー
  • Windows Webアカウントマネージャー
  • Windows Win32K
  • Windows WLANサービス
  • Windowsワークステーションサービス
  • Microsoft、2022年10月の月例更新 - Windows 11 バージョン22H2へも対応

    図1 2022年10月のセキュリティ更新プログラム(月例パッチ)が公開された

マイクロソフトでは、セキュリティ更新プログラム、セキュリティアドバイザリに関する注意点として、以下をあげる。

  • 今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2022-41033 Windows COM+イベントシステムサービスの特権の昇格の脆弱性は、すでに、脆弱性の悪用が行われていることを確認している。なお、この脆弱性の詳細の一般への公開は、セキュリティ更新プログラムの公開時点では確認されていない。ユーザーにおいては、早急に、更新プログラムの適用を行ってほしい。詳細は、CVE-2022-41033を参照してほしい。
  • 今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2022-41043(Microsoft Office)は、セキュリティ更新プログラムの公開よりも前に、脆弱性の情報が一般に公開されていたことを確認している。なお、この脆弱性の悪用は、セキュリティ更新プログラムの公開時点では確認されていない。
  • 9月30日(米国時間)に公開したCVE-2022-41040 Microsoft Exchange Serverの特権の昇格の脆弱性 およびCVE-2022-41082 Microsoft Exchange Serverのリモートでコードが実行される脆弱性の修正は、今月のセキュリティ更新プログラムには含まれていない。これらの脆弱性に対する更新プログラムは、準備が整い次第、公開をする予定である。影響を受ける環境をお持ちのユーザーは、緩和策を実施してほしい。緩和策やそのほかの詳細に関してはMicrosoft Exchangeサーバーのゼロデイ脆弱性報告に関するお客様向けガイダンスを参照してほしい。
  • 今月のセキュリティ更新プログラムを適用することで、Active Directory環境のドメインコントローラはPACに要求元が含まれていない場合は認証を拒否する動作になる。これは、2021年11月に公開したActive Directoryの脆弱性CVE-2021-42287への対処のため実行される措置。詳細については、KB5008380、CVE-2021-42287で追加されたイベントメッセージID 35, 37と脆弱性対応の流れについておよび[IT 管理者むけ]Active Directoryのセキュリティ強化への対応をご確認してください を参照してほしい。
  • セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してほしい。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2022年10月セキュリティ更新プログラムリリースノートに掲載されている。

新たに確認した脆弱性に対応した新しいセキュリティ更新プログラムは、以下の通り。

Windows 11およびv22H2

緊急(リモートでコードが実行される)

  • KB5018418
  • v22H2:KB5018427

Windows 11の更新プログラムであるKB5018418(累積更新プログラム)の構成内容であるが、

  • Windowsオペレーティングシステムのセキュリティ問題の修正

となっている。

Windows 10 v21H2、v21H1、およびv20H2

緊急(リモートでコードが実行される)

  • KB5018410

Windows Server 2022(Server Core installationを含む)

緊急(リモートでコードが実行される)

  • KB5018421

Windows Server 2019、2016、v20 H2(Server Core installationを含む)

緊急(リモートでコードが実行される)

  • Windows Server 2019:KB5018419
  • Windows Server 2016:KB5018411

Windows 8.1、Windows Server 2012 R2、Windows Server 2012(Server Core installationを含む)

緊急(リモートでコードが実行される)

  • Windows 8.1、Windows Server 2012 R2マンスリーロールアップ:KB5018474
  • Windows 8.1、Windows Server 2012 R2セキュリティのみ:KB5018476
  • Windows Server 2012マンスリーロールアップ:KB5018457
  • Windows Server 2012セキュリティのみ:KB5018478

Microsoft Office

緊急(リモートでコードが実行される)

セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドおよび https://docs.microsoft.com/officeupdates を参考にしてほしい。

Microsoft SharePoint

緊急(リモートでコードが実行される)

Microsoft .NET

重要(特権の昇格)

セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドおよび https://docs.microsoft.com/dotnet を参考にしてほしい。

Microsoft Visual Studio

重要(リモートでコードが実行される)

セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドおよび https://docs.microsoft.com/visualstudio を参考にしてほしい。

Microsoft Azure-related software

緊急(特権の昇格)セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドおよび https://docs.microsoft.com/ja-jp/azure を参考にしてほしい。

Microsoft Malware Protection Engine

重要(特権の昇格)

セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドを参考にしてほしい。