マイクロソフトは、2023年12月12日(米国時間)、2023年12月のセキュリティ更新プログラムを公開した。該当するソフトウェアはCVEベースで36件である。()内は対応するCVEである。

  • Windows Media(CVE-2023-21740)
  • Microsoft Edge(Chromiumベース)CVE-2023-35618
  • Microsoft Office Outlook(CVE-2023-35619)
  • Microsoft Dynamics(CVE-2023-35621)
  • Microsoft Windows DNS(CVE-2023-35622)
  • Azure Connected Machineエージェント(CVE-2023-35624)
  • Azure Machine Learning(CVE-2023-35625)
  • Windows MSHTMLプラットフォーム(CVE-2023-35628)
  • Windows USB Mass Storageクラスドライバー(CVE-2023-35629)
  • Windowsインターネット接続の共有(ICS)(CVE-2023-35630)
  • Windows Win32K(CVE-2023-35631)
  • Windowsインターネット接続の共有(ICS)(CVE-2023-35632)
  • Windowsカーネル(CVE-2023-35633)
  • Microsoft Bluetoothドライバー(CVE-2023-35634)
  • Windowsカーネル(CVE-2023-35635)
  • Microsoft Office Outlook(CVE-2023-35636)
  • Windows DHCPサーバー(CVE-2023-35638)
  • Windows ODBCドライバー(CVE-2023-35639)
  • Windowsインターネット接続の共有(ICS)(CVE-2023-35641)
  • Windowsインターネット接続の共有(ICS)(CVE-2023-35642)
  • WindowsDHCPサーバー(CVE-2023-35643)
  • Windowsカーネルモードドライバー(CVE-2023-35644)
  • XAML診断(CVE-2023-36003)
  • Windows DPAPI(データ保護アプリケーションプログラミングインターフェイス)(CVE-2023-36004)
  • Windows Telephony Server(CVE-2023-36005)
  • SQL用Microsoft WDAC OLE DBプロバイダー(CVE-2023-36006)
  • Microsoft Office Word(CVE-2023-36009)
  • Windows Defender(CVE-2023-36010)
  • Windows Win32K(CVE-2023-36011)
  • Windows DHCPサーバー(CVE-2023-36012)
  • Microsoft Power Platformコネクタ(CVE-2023-36019)
  • Microsoft Dynamics(CVE-2023-36020)
  • Windowsローカルセキュリティ機関サブシステムサービス(LSASS)(CVE-2023-36391)
  • Windows Cloud Files Mini Filter Driver(CVE-2023-36696)
  • Microsoft Edge(Chromiumベース)(CVE-2023-36880)
  • Microsoft Edge(Chromiumベース)(CVE-2023-38174)
  • Microsoft、2023年12月の月例更新 - 36件の脆弱性、早急なパッチ適用を

    図1 2023年12月のセキュリティ更新プログラム(月例パッチ)が公開された

マイクロソフトでは、セキュリティ更新プログラム、セキュリティアドバイザリに関する注意点として、以下をあげる。

  • 今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用や脆弱性の詳細が一般へ公開されていることを確認している。ユーザーにおいては、更新プログラムの適用を早急に行ってほしい。脆弱性の詳細は、各CVEのページを参照してほしい。
    • CVE-2023-20588 AMD:CVE-2023-20588 AMD Speculative Leaks Security Notice
  • セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してほしい。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2023年12月セキュリティ更新プログラムリリースノートに掲載されている。

新たに確認した脆弱性に対応した新しいセキュリティ更新プログラムは、以下の通り。

Windows 11 v23H2、v22H2、v21H2

緊急(リモートでコードの実行が可能)

  • v23HH2、v22H2:KB5033375
  • v21H2:KB5033369

Windows 11 v22H2、v23H2の更新プログラムであるKB5033375(累積更新プログラム)の構成内容であるが、

  • この更新プログラムは、Windowsオペレーティングシステムのセキュリティの問題に対処する。

となっている。

Windows 10 v22H2、v21H2

緊急(リモートでコードの実行が可能)

  • KB5033372

Windows Server 2022、23H2(Server Core installationを含む)

緊急(リモートでコードの実行が可能)

  • Windows Server 2022:KB5033118
  • Windows Server 2022 23H2:KB5033383

Windows Server 2019、2016(Server Core installationを含む)

緊急(リモートでコードの実行が可能)

  • Windows Server 2019:KB5033371
  • Windows Server 2016:KB5033373

Microsoft Office

重要(情報漏洩)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/ja-jp/officeupdates/ を参照してほしい。

Microsoft Dynamics 365

緊急(サービス拒否)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dynamics365 を参照してほしい。

Microsoft Azure

緊急(特権の昇格)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/azure を参照してほしい。

Microsoft Malware Protection Platform

重要(サービス拒否)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/system-center を参照してほしい。