マイクロソフトは、2022年12月13日(米国時間)、2022年12月のセキュリティ更新プログラム(月例パッチ)を公開した。該当するソフトウェアは以下の通り。
- .NET Framework
- Azure
- Client Server Run-time Subsystem(CSRSS)
- Microsoft Bluetoothドライバー
- Microsoft Dynamics
- Microsoft Edge(Chromiumベース)
- Microsoft Graphicsコンポーネント
- Microsoft Office
- Microsoft Office OneNote
- Microsoft Office Outlook
- Microsoft Office SharePoint
- Microsoft Office Visio
- Microsoft Windows Codecs Library
- ロール:Windows Hyper-V
- SysInternals
- Windowsの証明書
- Windowsアドレス帳
- Windows DirectX
- Windowsエラー報告
- Windows Fax Compose Form
- Windows HTTP印刷プロバイダー
- Windowsカーネル
- Windows PowerShell
- Windows印刷スプーラーコンポーネント
- Windows Projected File System
- Windows Secure Socketトンネリングプロトコル(SSTP)
- Windows SmartScreen
- Linux用Windowsサブシステム
- Windowsターミナル
マイクロソフトでは、セキュリティ更新プログラム、セキュリティアドバイザリに関する注意点として、以下をあげる。
- 今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2022-44698 Windows SmartScreenのセキュリティ機能のバイパスの脆弱性は、すでに脆弱性の悪用が行われていることを確認している。なお、セキュリティ更新プログラムの公開時点では、この脆弱性の詳細の一般への公開は確認されていない。ユーザーにおいては、更新プログラムの適用を早急に行ってほしい。詳細は、CVE-2022-44698を参照してほしい。
- 今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2022-44710 DirectXグラフィックカーネルの特権の昇格の脆弱性は、セキュリティ更新プログラムの公開よりも前に、脆弱性の情報が一般に公開されていたことを確認している。なお、セキュリティ更新プログラムの公開時点では、この脆弱性の悪用は確認されていない。
- 2022年11月の月例セキュリティ更新日に公開したCVE-2022-37967に対処するためのActive Directory環境のKerberosプロトコルにおける変更の第2フェーズが、予定通り実施される。2022年12月の月例更新プログラムを適用することで、すべてのデバイスが既定で監査モードになる。CVE-2022-37967の脆弱性からシステムを完全に保護するためには、すべてのWindowsドメインコントローラーでできるだけ早く監査モードの後に強制モードに移行する必要がある。Active Directory環境の管理者は、できるだけ早期に、強制モードに移行してほしい。詳細については、CVE-2022-37967およびKB5020805:CVE-2022-37967に関連するKerberosプロトコルの変更を管理する方法を参照してほしい。
- セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してほしい。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2022年12月セキュリティ更新プログラムリリースノートに掲載されている。
新たに確認した脆弱性に対応した新しいセキュリティ更新プログラムは、以下の通り。
Windows 11およびv22H2
緊急(リモートでコードが実行される)
- KB5021234
- v22H2:KB50212550
Windows 11 v22H2の更新プログラムであるKB50212550(累積更新プログラム)の構成内容であるが、
- タスクマネージャーに影響する可能性がある既知の問題に対処する。ユーザーインターフェイス(UI)の特定の要素が予期しない色で表示される場合がある。UIの一部が読み取れない場合もありうる。この問題は、[設定]の[個人用設定]→[色]セクションで[モードの選択]を[カスタム]に設定している場合に発生する可能性がある。
- Windowsオペレーティングシステムのセキュリティの問題の修正
となっている。
Windows 10 v21H2、v21H1、およびv20H2
緊急(リモートでコードが実行される)
- KB5021233
Windows Server 2022(Server Core installationを含む)
緊急(リモートでコードが実行される)
- KB5021249
Windows Server 2019、2016(Server Core installationを含む)
緊急(リモートでコードが実行される)
- Windows Server 2019:KB5021237
- Windows Server 2016:KB5021235
Windows 8.1、Windows Server 2012 R2、Windows Server 2012(Server Core installationを含む)
緊急(リモートでコードが実行される)
- Windows 8.1、Windows Server 2012 R2マンスリーロールアップ:KB5021294
- Windows 8.1、Windows Server 2012 R2セキュリティのみ:KB5021296
- Windows Server 2012マンスリーロールアップ:KB5021285
- Windows Server 2012セキュリティのみ:KB5021303
Microsoft Office
重要(リモートでコードが実行される)
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドおよび https://learn.microsoft.com/officeupdates を参考にしてほしい。
Microsoft SharePoint
緊急(リモートでコードが実行される)
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドおよび https://learn.microsoft.com/officeupdates/sharepoint-updates を参考にしてほしい。
Microsoft .NET
重要(リモートでコードが実行される)
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイド?および https://learn.microsoft.com/dotnet を参考にしてほしい。
Microsoft Visual Studio
重要(リモートでコードが実行される)
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドおよび https://learn.microsoft.com/visualstudio を参考にしてほしい。
Microsoft Dynamics
緊急(リモートでコードが実行される)
https://learn.microsoft.com/dynamics を参考にしてほしい。
PowerShell
緊急(リモートでコードが実行される)
https://learn.microsoft.com/powershell を参考にしてほしい。
Remote Desktop client for Windows Desktop
重要(特権の昇格)
https://learn.microsoft.com/windows-server/remote/remote-desktop-services/welcome-to-rds を参考にしてほしい。
Microsoft Azure-related software
重要(特権の昇格)
https://learn.microsoft.com/azure を参考にしてほしい。