マイクロソフトは、2023年8月8日(米国時間)、2023年8月のセキュリティ更新プログラム(月例パッチ)を公開した。該当するソフトウェア修正はCVEベースで74件である。()内は対応するCVEである。
- Microsoft Office(ADV230003)
- Memory Integrity System Readiness Scan Tool(ADV230004)
- Microsoft Exchange Server(CVE-2023-21709)
- Microsoft Teams(CVE-2023-29328)
- Microsoft Teams(CVE-2023-29330)
- Windows カーネル(CVE-2023-35359)
- Microsoft Exchange Server(CVE-2023-35368)
- Microsoft Office Excel(CVE-2023-35371)
- Microsoft Office Visio(CVE-2023-35372)
- Windowsメッセージキュー(CVE-2023-35376)
- Windowsメッセージキュー(CVE-2023-35377)
- Windows Projected File System(CVE-2023-35378)
- WindowsReliability Analysis Metrics Calculation Engine(CVE-2023-35379)
- Windowsカーネル(CVE-2023-35380)
- Windows Faxとスキャンサービス(CVE-2023-35381)
- Windowsカーネル(CVE-2023-35382)
- Windowsメッセージキュー(CVE-2023-35383)
- Windows HTMLプラットフォーム(CVE-2023-35384)
- Windowsメッセージキュー(CVE-2023-35385)
- Windowsカーネル(CVE-2023-35386)
- Windows Bluetooth A2DPドライバー(CVE-2023-35387)
- Microsoft Exchange Server(CVE-2023-35388)
- Microsoft Dynamics(CVE-2023-35389)
- .NET Core(CVE-2023-35390)
- ASP.NETおよびVisual Studio(CVE-2023-35391)
- Azure HDInsights(CVE-2023-35393)
- Azure HDInsights(CVE-2023-35394)
- Microsoft Office Visio(CVE-2023-36865)
- Microsoft Office Visio(CVE-2023-36866)
- Azure DevOps(CVE-2023-36869)
- .NET Framework(CVE-2023-36873)
- Reliability Analysis Metrics Calculation Engine(CVE-2023-36876)
- Azure HDInsights(CVE-2023-36877)
- Azure HDInsights(CVE-2023-36881)
- SQL用Microsoft WDAC OLE DBプロバイダー(CVE-2023-36882)
- Windowsグループポリシー(CVE-2023-36889)
- Microsoft Office SharePoint(CVE-2023-36890)
- Microsoft Office SharePoint(CVE-2023-36891)
- Microsoft Office SharePoint(CVE-2023-36892)
- Microsoft Office Outlook(CVE-2023-36893)
- Microsoft Office SharePoint(CVE-2023-36894)
- Microsoft Office Outlook(CVE-2023-36895)
- Microsoft Office Excel(CVE-2023-36896)
- Microsoft Office(CVE-2023-36897)
- タブレット用のWindowsユーザーインターフェイス(CVE-2023-36898)
- ASP.NET(CVE-2023-36899)
- Windows共通ログファイルシステムドライバー(CVE-2023-36900)
- Windowsシステム評価ツール(CVE-2023-36903)
- Windows Cloud Files Mini Filter Driver(CVE-2023-36904)
- Windowsワイヤレスワイドエリアネットワークサービス(CVE-2023-36905)
- Windows Cryptographicサービス(CVE-2023-36906)
- Windows Cryptographicサービス(CVE-2023-36907)
- ロール:Windows Hyper-V(CVE-2023-36908)
- Windowsメッセージキュー(CVE-2023-36909)
- Windowsメッセージキュー(CVE-2023-36910)
- Windowsメッセージキュー(CVE-2023-36911)
- Windowsメッセージキュー(CVE-2023-36912)
- Windowsメッセージキュー(CVE-2023-36913)
- Windowsスマートカード(CVE-2023-36914)
- Windowsカーネル(CVE-2023-38154)
- Microsoft Edge(Chromiumベース)(CVE-2023-38157)
- Dynamics Business Central Control(CVE-2023-38167)
- SQL Server(CVE-2023-38169)
- Microsoft Windows Codecs Library(CVE-2023-38170)
- Windowsメッセージキュー(CVE-2023-38172)
- Windows Defender(CVE-2023-38175)
- Azure Arc(CVE-2023-38176)
- .NET Core(CVE-2023-38178)
- ASP .NET(CVE-2023-38180)
- Microsoft Exchange Server(CVE-2023-38181)
- Microsoft Exchange Server(CVE-2023-38182)
- Windows LDAP - ライトウェイトディレクトリアクセスプロトコル(CVE-2023-38184)
- Microsoft Exchange Server(CVE-2023-38185)
- Windowsモバイルデバイス管理(CVE-2023-38186)
- Azure HDInsights(CVE-2023-38188)
- Windowsメッセージキュー(CVE-2023-38254)
-
図1 2023年8月のセキュリティ更新プログラム(月例パッチ)が公開された
マイクロソフトでは、セキュリティ更新プログラム、セキュリティアドバイザリに関する注意点として、以下をあげる。
- 今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用や脆弱性の詳細が一般へ公開されていることを確認している。ユーザーにおいては、更新プログラムの適用を早急に行ってほしい。脆弱性の詳細は、各CVEのページを参照してほしい。
- CVE-2023-38180 .NET and Visual Studio Denial of Service Vulnerability
- ADV230003 Microsoft Officeの多層防御機能の更新プログラム
- ADV230004 Memory Integrity System Readiness Scan Tool Defense in Depth Update
- 今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は、CVSS 基本値が9.8と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性である。これらの脆弱性が存在する製品、および悪用が可能となる条件については、各CVEのページの「よく寄せられる質問」を参照してほしい。セキュリティ更新プログラムが公開されるよりも前に、脆弱性の情報の一般への公開、脆弱性の悪用はないが、脆弱性の特性を鑑み、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨している。
- CVE-2023-21709 Microsoft Exchange Serverの特権の昇格の脆弱性
- CVE-2023-35385 Microsoft Message Queuingのリモートでコードが実行される脆弱性
- CVE-2023-36910 Microsoft Message Queuing のリモートでコードが実行される脆弱性
- CVE-2023-36911 Microsoft Message Queuing のリモートでコードが実行される脆弱性
- Microsoft Exchangeの更新プログラムを展開する際のガイダンスは、Microsoft Exchange チームブログReleased: August 2023 Exchange Server Security Updatesも併せて参照してほしい。
- セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してほしい。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2023年8月セキュリティ更新プログラムリリースノートに掲載されている。
新たに確認した脆弱性に対応した新しいセキュリティ更新プログラムは、以下の通り。
Windows 11 v21H2および v22H2
緊急(リモートでコードの実行が可能)
- v22H2:KB5029263
- v21H2:KB5029253
Windows 11 v22H2の更新プログラムであるKB5029263(累積更新プログラム)の構成内容であるが、
- この更新プログラムは、Windowsオペレーティングシステムのセキュリティの問題に対処する
となっている。
Windows 10 v22H2、v21H2
緊急(リモートでコードの実行が可能)
- KB5029247
Windows Server 2022(Server Core installationを含む)
緊急(リモートでコードの実行が可能)
- KB5029250
- KB5029367(セキュリティホットパッチアップデート)
Windows Server 2019、2016(Server Core installationを含む)
緊急(リモートでコードの実行が可能)
- Windows Server 2019:KB5029247
- Windows Server 2016:KB5029242
Windows Server 2012 R2、Windows Server 2012(Server Core installationを含む)
緊急(リモートでコードの実行が可能)
- Windows Server 2012 R2マンスリーロールアップ:KB5029312
- Windows Server 2012 R2セキュリティのみ:KB5029304
- Windows Server 2012マンスリーロールアップ:KB5029295
- Windows Server 2012セキュリティのみ:KB5029308
Microsoft Office
緊急(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/ja-jp/officeupdates/ を参照してほしい。
Microsoft SharePoint
重要(情報漏えい)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/officeupdates/sharepoint-updates を参照してほしい。
Microsoft Exchange Server
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/exchange 、Released: August 2023 Exchange Server Security Updatesを参照してほしい。
Microsoft .NET
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dotnet を参照してほしい。
Microsoft Visual Studio
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/visualstudio を参照してほしい。
Microsoft Dynamics 365
重要(リモートでコードの実行が可能)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dynamics365 を参照してほしい。
Azure関連のソフトウェア
重要(特権の昇格)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/azure を参照してほしい。
Windows Defender Antimalware Platform
重要(特権の昇格)
セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/defender を参照してほしい。
