マイクロソフトは、2023年2月14日(米国時間)、2023年2月のセキュリティ更新プログラム(https://msrc.microsoft.com/update-guide/releaseNote/2023-Feb)(月例パッチ)を公開した。該当するソフトウェアは以下の通り。

  • .NETとVisual Studio
  • .NET Framework
  • 3D Builder
  • Azure App Service
  • Azure Data Box Gateway
  • Azure DevOps
  • Azure Machine Learning
  • HoloLens
  • インターネット記憶域ネームサービス
  • Microsoft Defender for Defender
  • Microsoft Defender for IoT
  • Microsoft Dynamics
  • Microsoft Edge(Chromiumベース)
  • Microsoft Exchange Server
  • Microsoft Graphicsコンポーネント
  • Microsoft Office
  • Microsoft Office Publisher
  • Microsoft Office OneNote
  • Microsoft Office SharePoint
  • Microsoft Office Word
  • Microsoft PostScriptプリンタードライバー
  • SQL用Microsoft WDAC OLE DBプロバイダー
  • Microsoft Windows Codecs Library
  • Power BI
  • SQL Server
  • Visual Studio
  • Windows Active Directory
  • Windows ALPC
  • Windows共通ログファイルシステムドライバー
  • Windows Cryptographicサービス
  • Windows分散ファイルシステム(DFS)
  • Windows Faxとスキャンサービス
  • Windows HTTP.sys
  • Windowsインストーラー
  • Windows iSCSI
  • Windows Kerberos
  • Windows MSHTMLプラットフォーム
  • Windows ODBCドライバー
  • Windows Protected EAP(PEAP)
  • Windows SChannel
  • Windows Win32K
  • Microsoft、2023年2月の月例更新 - ゼロディ攻撃が確認された3件を含む修正を実施

    図1 2023年2月のセキュリティ更新プログラム(月例パッチ)が公開された

マイクロソフトでは、セキュリティ更新プログラム、セキュリティアドバイザリに関する注意点として、以下をあげる。

  • 今月のセキュリティ更新プログラムで修正した脆弱性のうち、次の3つの脆弱性は、すでに脆弱性の悪用が行われていることを確認している。なお、セキュリティ更新プログラムの公開時点では、この脆弱性の詳細の一般への公開は確認されていない。ユーザーにおいては、更新プログラムの適用を早急に行ってほしい。詳細は各脆弱性のページを参照してほしい。
    • CVE-2023-23376 Windows共通ログファイルシステムドライバーの特権の昇格の脆弱性
    • CVE-2023-21823 Windows Graphicsコンポーネントの特権の昇格の脆弱性
    • CVE-2023-21715 Microsoft Publisher のセキュリティ機能のバイパスの脆弱性
  • セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してほしい。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2023年2月セキュリティ更新プログラムリリースノートに掲載されている。
  • Microsoft Exchange の更新プログラムを展開する際のガイダンスは、ExchangeチームブログReleased: February 2023 Exchange Server Security Updatesも併せて参照してほしい。
  • Azure DevOps Serverの更新プログラムを展開する際のガイダンスは、Azure DevOps ServerチームブログFebruary patches for Azure DevOps Serverも併せて参照してほしい。

今月の「悪意のあるソフトウェアの削除ツール」では、新たに対応を追加したファミリはない。新たに確認した脆弱性に対応した新しいセキュリティ更新プログラムは、以下の通り。

Windows 11 v21H2および v22H2

緊急(リモートでコードが実行される)

  • v21H2:KB5022836
  • v22H2:KB5022845

Windows 11 v22H2の更新プログラムであるKB5022845(累積更新プログラム)の構成内容であるが、

  • この更新プログラムにより、内部 OS 機能に対するその他のセキュリティの強化が行われます。 このリリースについて追加の問題は記録されていない。

となっている。

Windows 10 v22H2、v21H2、およびv20H2

緊急(リモートでコードが実行される)

  • KB5022834

Windows Server 2022(Server Core installationを含む)

緊急(リモートでコードが実行される)

  • KB5022842

Windows Server 2019、2016(Server Core installationを含む)

緊急(リモートでコードが実行される)

  • Windows Server 2019:KB5022840
  • Windows Server 2016:KB5022838

Windows 8.1、Windows Server 2012 R2、Windows Server 2012(Server Core installationを含む)

緊急(リモートでコードが実行される)

  • Windows 8.1、Windows Server 2012 R2マンスリーロールアップ:KB5022899
  • Windows 8.1、Windows Server 2012 R2セキュリティのみ:KB5022894
  • Windows Server 2012マンスリーロールアップ:KB5022903
  • Windows Server 2012セキュリティのみ:KB5022895

Microsoft Office

緊急(リモートでコードが実行される)

セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドおよび https://learn.microsoft.com/officeupdates を参考にしてほしい。

Microsoft SharePoint

緊急(リモートでコードが実行される)

セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドおよび https://learn.microsoft.com/officeupdates/sharepoint-updates を参考にしてほしい。

Microsoft Exchange Server

重要(リモートでコードが実行される)

セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドおよび https://learn.microsoft.com/exchange を参考にしてほしい。

Microsoft .NET

緊急(リモートでコードが実行される)

セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドおよび https://learn.microsoft.com/dotnet を参考にしてほしい。

Microsoft Visual Studio

緊急(リモートでコードが実行される)

セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドおよび https://learn.microsoft.com/visualstudio を参考にしてほしい。

Microsoft SQL Server

緊急(モートでコードが実行される)

セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドおよび https://learn.microsoft.com/en-us/troubleshoot/sql/releases/download-and-install-latest-updates を参考にしてほしい。

Microsoft Dynamics 365

重要(リモートでコードが実行される)

セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドおよび https://support.microsoft.com/en-us/topic/microsoft-dynamics-365-on-premises-cumulative-updates-ed51f905-cf4e-3641-dc7c-afe2b868eeb9 を参考にしてほしい。

Azure関連 のソフトウェア

重要(リモートでコードが実行される)

セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドおよび https://learn.microsoft.com/azure を参考にしてほしい。

Windows Malicious Software Removal Tool

重要(セキュリティ機能のバイパス)

セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドおよび https://learn.microsoft.com/system-center を参考にしてほしい。

Microsoft Defender for IoT

重要(特権の昇格)

セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドおよび https://learn.microsoft.com/en-us/azure/defender-for-iot/organizations/update-ot-software?tabs=portal を参考にしてほしい。

Power BI Report Server

重要(なりすまし)

セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドおよび https://learn.microsoft.com/en-us/power-bi/report-server/upgrade を参考にしてほしい。