マイクロソフトは、2023年4月11日(米国時間)、2023年4月のセキュリティ更新プログラム(月例パッチ)を公開した。該当するソフトウェアは以下の通り。

  • .NET Core
  • Azure Machine Learning
  • Azure Service Connector
  • Microsoft Bluetooth Driver
  • Microsoft Defender for Endpoint
  • Microsoft Dynamics
  • Microsoft Dynamics 365 Customer Voice
  • Microsoft Edge(Chromium-based)
  • Microsoft Graphics Component
  • Microsoft Message Queuing
  • Microsoft Office
  • Microsoft Office Publisher
  • Microsoft Office SharePoint
  • Microsoft Office Word
  • Microsoft PostScriptプリンタードライバー
  • Microsoftプリンタードライバー
  • Microsoft WDAC OLE DB provider for SQL
  • Microsoft Windows DNS
  • Visual Studio
  • Visual Studio Code
  • Windows Active Directory
  • Windows ALPC
  • Windows Ancillary Function Driver for WinSock
  • Windows Boot Manager
  • Windows Clip Service
  • Windows CNG Key Isolation Service
  • Windows Common Log File System Driver
  • Windows DHCP Server
  • Windows Enroll Engine
  • Windows Error Reporting
  • Windows Group Policy
  • Windows Internet Key Exchange(IKE)Protocol
  • Windows Kerberos
  • Windows Kernel
  • Windows Layer 2 Tunneling Protocol
  • Windows Lock Screen
  • Windows Netlogon
  • Windows Network Address Translation(NAT)
  • Windows Network File System
  • Windows Network Load Balancing
  • Windows NTLM
  • Windows PGM
  • Windows Point-to-Point Protocol over Ethernet(PPPoE)
  • Windows Point-to-Point Tunneling Protocol
  • Windows Raw Image Extension
  • Windows RDP Client
  • Windows Registry
  • Windows RPC API
  • Windows Secure Boot
  • Windows Secure Channel
  • Windows Secure Socket Tunneling Protocol(SSTP)
  • Windows Transport Security Layer(TLS)
  • Windows Win32K
  • Microsoft、2023年4月の月例更新 - 悪用の確認された脆弱性の修正、Office 2013サポートの終了

    図1 2023年4月のセキュリティ更新プログラム(月例パッチ)が公開された

マイクロソフトでは、セキュリティ更新プログラム、セキュリティアドバイザリに関する注意点として、以下をあげる。

  • 今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2023-28252 Windows共通ログファイルシステムドライバーの特権の昇格の脆弱性は、すでに脆弱性の悪用が行われていることを確認している。なお、セキュリティ更新プログラムの公開時点では、この脆弱性の詳細の一般への公開は確認されていない。ユーザーにおいては、更新プログラムの適用を早急に行ってほしい。詳細は、CVE-2023-28252を参照してほしい。
  • 今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2023-28250 Windows Pragmatic General Multicast(PGM)のリモートでコードが実行される脆弱性およびCVE-2023-21554 Microsoft Message Queuingのリモートでコードが実行される脆弱性は、CVSS基本値が9.8と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性である。これらの脆弱性が存在する製品、および悪用が可能となる条件については、各CVEのページの「よく寄せられる質問」を参照してほしい。セキュリティ更新プログラムが公開されるよりも前に、脆弱性の情報の一般への公開、脆弱性の悪用はないが、脆弱性の特性を鑑み、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨している。
  • セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してほしい。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2023年4月セキュリティ更新プログラムリリースノートに掲載されている。

今月の「悪意のあるソフトウェアの削除ツール」では、新たに対応を追加したファミリはない。新たに確認した脆弱性に対応した新しいセキュリティ更新プログラムは、以下の通り。

Windows 11 v21H2および v22H2

緊急(リモートでコードの実行が可能)

  • v21H2:KB5025224
  • v22H2:KB5025239

Windows 11 v22H2の更新プログラムであるKB5025239(累積更新プログラム)の構成内容であるが、

  • この更新プログラムにより、Windowsオペレーティングシステムのセキュリティの問題に対処する。

となっている。

Windows 10 v22H2、v21H2、およびv20H2

緊急(リモートでコードの実行が可能)

  • KB5025221

Windows Server 2022(Server Core installationを含む)

緊急(リモートでコードの実行が可能)

  • KB5025230

Windows Server 2019、2016(Server Core installationを含む)

緊急(リモートでコードの実行が可能)

  • Windows Server 2019:KB5025229
  • Windows Server 2016:KB5025228

Windows Server 2012 R2、Windows Server 2012(Server Core installationを含む)

緊急(リモートでコードの実行が可能)

  • Windows Server 2012 R2マンスリーロールアップ:KB5025285
  • Windows Server 2012 R2セキュリティのみ:KB5025288
  • Windows Server 2012マンスリーロールアップ:KB5025287
  • Windows Server 2012セキュリティのみ:KB5025272

Microsoft Office

重要(リモートでコードの実行が可能)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/officeupdatesを参照してほしい。

Microsoft SharePoint

重要(なりすまし)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/officeupdates/sharepoint-updatesを参照してほしい。

Microsoft .NET

重要(リモートでコードの実行が可能)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dotnetを参照してほしい。

Microsoft Visual Studio

重要(リモートでコードの実行が可能)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/visualstudioを参照してほしい。

Microsoft SQL Server

重要(リモートでコードの実行が可能)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/sqlを参照してほしい。

Microsoft Dynamics 365

重要(なりすまし)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dynamics365を参照してほしい。

Microsoft Azure-related software

重要(情報漏えい)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/azureを参照してほしい。

Microsoft Malware Protection Engine

重要(サービス拒否)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/system-centerを参照してほしい。

Remote Desktop client for Windows Desktop

重要(情報漏えい)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/azure/virtual-desktop/whats-new-client-windowsを参照してほしい。