マイクロソフトは、2023年9月12日(米国時間)、2023年9月のセキュリティ更新プログラムを公開した。該当するソフトウェアはCVEベースで59件である。()内は対応するCVEである。

  • Microsoft Azure Kubernetes Service(CVE-2023-29332)
  • Azure DevOps(CVE-2023-33136)
  • Windows Cloud Files Mini Filter Driver(CVE-2023-35355)
  • Microsoft Identity Linuxブローカー(CVE-2023-36736)
  • 3Dビューアー(CVE-2023-36739)
  • 3Dビューアー(CVE-2023-36740)
  • Visual Studio Code(CVE-2023-36742)
  • Microsoft Exchange Server(CVE-2023-36744)
  • Microsoft Exchange Server(CVE-2023-36745)
  • Microsoft Exchange Server(CVE-2023-36756)
  • Microsoft Exchange Server(CVE-2023-36757)
  • Visual Studio(CVE-2023-36758)
  • Visual Studio(CVE-2023-36759)
  • 3Dビューアー(CVE-2023-36760)
  • Microsoft Office Word(CVE-2023-36761)
  • Microsoft Office Word(CVE-2023-36762)
  • Microsoft Office Outlook(CVE-2023-36763)
  • Microsoft Office SharePoint(CVE-2023-36764)
  • Microsoft Office(CVE-2023-36765)
  • Microsoft Office Excel(CVE-2023-36766)
  • Microsoft Office(CVE-2023-36767)
  • 3D Builder(CVE-2023-36770)
  • 3D Builder(CVE-2023-36771)
  • 3D Builder(CVE-2023-36772)
  • 3D Builder(CVE-2023-36773)
  • Microsoft Exchange Server(CVE-2023-36777)
  • .NET Framework(CVE-2023-36788)
  • .NETとVisual Studio(CVE-2023-36792)
  • .NETとVisual Studio(CVE-2023-36793)
  • .NETとVisual Studio(CVE-2023-36794)
  • .NETとVisual Studio(CVE-2023-36796)
  • .NET CoreとVisual Studio(CVE-2023-36799)
  • Microsoft Dynamics Finance & Operations(CVE-2023-36800)
  • Windows DHCPサーバー(CVE-2023-36801)
  • Microsoft Streamサービス(CVE-2023-36802)
  • Windowsカーネル(CVE-2023-36803)
  • Windows GDI(CVE-2023-36804)
  • Windowsスクリプト(CVE-2023-36805)
  • Microsoft Dynamics(CVE-2023-36886)
  • Windowsカーネル(CVE-2023-38139)
  • Windowsカーネル(CVE-2023-38140)
  • Windowsカーネル(CVE-2023-38141)
  • Windowsカーネル(CVE-2023-38142)
  • Windows共通ログファイルシステムドライバー(CVE-2023-38143)
  • Windows共通ログファイルシステムドライバー(CVE-2023-38144)
  • Windows Themes(CVE-2023-38146)
  • Microsoft Windows Codecs Library(CVE-2023-38147)
  • Windowsインターネット接続の共有(ICS)(CVE-2023-38148)
  • Windows TCP/IP(CVE-2023-38149)
  • Windowsカーネル(CVE-2023-38150)
  • WindowsDHCPサーバー(CVE-2023-38152)
  • Azure DevOps(CVE-2023-38155)
  • Azure HDInsights(CVE-2023-38156)
  • Windows TCP/IP(CVE-2023-38160)
  • Windows GDI(CVE-2023-38161)
  • Windows DHCPサーバー(CVE-2023-38162)
  • Windows Defender(CVE-2023-38163)
  • Microsoft Dynamics(CVE-2023-38164)
  • Microsoft Office(CVE-2023-41764)
  • Microsoft、2023年9月の月例更新 - 59件の脆弱性への対応が行われる

    図1 2023年9月のセキュリティ更新プログラム(月例パッチ)が公開された

マイクロソフトでは、セキュリティ更新プログラム、セキュリティアドバイザリに関する注意点として、以下をあげる。

  • 今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用や脆弱性の詳細が一般へ公開されていることを確認している。ユーザーにおいては、更新プログラムの適用を早急に行ってほしい。脆弱性の詳細は、各CVEのページを参照してほしい。
    • CVE-2023-36802 Microsoft Stream Servicesサービスのプロキシの特権の昇格の脆弱性
    • CVE-2023-36761Microsoft Wordの情報漏えいの脆弱性
  • 9月の月例更新日に公開されたExchange Serverの脆弱性は、2023年8月の月例更新日に公開されたSUをインストールすることで解決できる。2023年9月に新たに公開されたExchange Server SUはない。Microsoft Exchangeの更新プログラムを展開する際のガイダンスは、Microsoft Exchangeチームブログ September 2023 release of new Exchange Server CVEs(resolved by August 2023 Security Updates)も併せて参考にしてほしい。
  • セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してほしい。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2023年9月セキュリティ更新プログラムリリースノートに掲載されている。

新たに確認した脆弱性に対応した新しいセキュリティ更新プログラムは、以下の通り。

Windows 11 v21H2およびv22H2

緊急(リモートでコードの実行が可能)

  • v22H2:KB5030219
  • v21H2:KB5030217

Windows 11 v22H2の更新プログラムであるKB5030219(累積更新プログラム)の構成内容であるが、

  • この更新プログラムは、[固定キー]メニューから空白のメニュー項目を削除する。この問題は、KB5029351をインストールした後に発生する。
  • この更新プログラムは、Windowsオペレーティング システムのセキュリティの問題に対処する。

となっている。

Windows 10 v22H2、v21H2

緊急(リモートでコードの実行が可能)

  • KB5030211

Windows Server 2022(Server Core installationを含む)

緊急(リモートでコードの実行が可能)

  • KB5030216
  • KB5030325(セキュリティホットパッチアップデート)

Windows Server 2019、2016(Server Core installationを含む)

重要(リモートでコードの実行が可能)

  • Windows Server 2019:KB5030214
  • Windows Server 2016:KB5030213

Windows Server 2012 R2、Windows Server 2012(Server Core installationを含む)

重要(特権の昇格)

  • Windows Server 2012 R2マンスリーロールアップ:KB5030269
  • Windows Server 2012 R2セキュリティのみ:KB5030287
  • Windows Server 2012マンスリーロールアップ:KB5030278
  • Windows Server 2012セキュリティのみ:KB5030279

Microsoft Office

重要(リモートでコードの実行が可能)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/ja-jp/officeupdates/ を参照してほしい。

Microsoft SharePoint

重要(リモートでコードの実行が可能)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/officeupdates/sharepoint-updates を参照してほしい。

Microsoft Exchange Server

重要(リモートでコードの実行が可能)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/exchange、September 2023 release of new Exchange Server CVEs(resolved by August 2023 Security Updates)を参照してほしい。

Microsoft .NET

緊急(リモートでコードの実行が可能)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dotnet を参照してほしい。

Microsoft Visual Studio

緊急(リモートでコードの実行が可能)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/visualstudio を参照してほしい。

Microsoft Dynamics 365

重要(なりすまし)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dynamics365 を参照してほしい。

Azure関連のソフトウェア

緊急(リモートでコードの実行が可能)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/azure を参照してほしい。

Microsoft Malware Protection Engine

重要(セキュリティ機能のバイパス)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/system-center を参照してほしい。