マイクロソフトは、2024年9月10日(米国時間)、2024年9月のセキュリティ更新プログラム(月例パッチ)を公開した。該当するソフトウェアはCVEベースで79件である。()内は対応するCVEである。

  • Windows TCP/IP(CVE-2024-21416)
  • SQL Server(CVE-2024-26186)
  • SQL Server(CVE-2024-26191)
  • Windows セキュリティゾーンマッピング(CVE-2024-30073)
  • SQL Server(CVE-2024-37335)
  • SQL Server(CVE-2024-37337)
  • SQL Server(CVE-2024-37338)
  • SQL Server(CVE-2024-37339)
  • SQL Server(CVE-2024-37340)
  • SQL Server(CVE-2024-37341)
  • SQL Server(CVE-2024-37342)
  • SQL Server(CVE-2024-37965)
  • SQL Server(CVE-2024-37966)
  • SQL Server(CVE-2024-37980)
  • Windowsインストーラー(CVE-2024-38014)
  • Microsoft Office SharePoint(CVE-2024-38018)
  • Windows TCP/IP(CVE-2024-38045)
  • Windows PowerShell(CVE-2024-38046)
  • Windows Network Address Translation (NAT)(CVE-2024-38119)
  • Azure Network Watcher(CVE-2024-38188)
  • Azure Web Apps(CVE-2024-38194)
  • Azure Stack(CVE-2024-38216)
  • Windows Mark of the Web (MOTW)(CVE-2024-38217)
  • Azure Stack(CVE-2024-38220)
  • Dynamics Business Central(CVE-2024-38225)
  • Microsoft Office Publisher(CVE-2024-38226)
  • Microsoft Office SharePoint(CVE-2024-38227)
  • Microsoft Office SharePoint(CVE-2024-38228)
  • Windows Standards-Based Storage Managementサービス(CVE-2024-38230)
  • Microsoftリモートデスクトップライセンスサービス(CVE-2024-38231)
  • Windowsネットワーク仮想化(CVE-2024-38232)
  • Windowsネットワーク仮想化(CVE-2024-38233)
  • Windowsネットワーク仮想化(CVE-2024-38234)
  • ロール:Windows Hyper-V(CVE-2024-38235)
  • Windows DHCPサーバー(CVE-2024-38236)
  • Microsoft Streamサービス(CVE-2024-38237)
  • Microsoft Streamサービス(CVE-2024-38238)
  • Windows Kerberos(CVE-2024-38239)
  • Windows Remote Access Connection Manager(CVE-2024-38240)
  • Microsoft Streamサービス(CVE-2024-38241)
  • Microsoft Streamサービス(CVE-2024-38242)
  • Microsoft Streamサービス(CVE-2024-38243)
  • Microsoft Streamサービス(CVE-2024-38244)
  • Microsoft Streamサービス(CVE-2024-38245)
  • Windows Win32K: GRFX(CVE-2024-38246)
  • Microsoft Graphicsコンポーネント(CVE-2024-38247)
  • Windows Storage(CVE-2024-38248)
  • Microsoft Graphicsコンポーネント(CVE-2024-38249)
  • Microsoft Graphicsコンポーネント(CVE-2024-38250)
  • Windows Win32K - ICOMP(CVE-2024-38252)
  • Windows Win32K - ICOMP(CVE-2024-38253)
  • Windows 認証方法(CVE-2024-38254)
  • Windows カーネルモードドライバー(CVE-2024-38256)
  • Windows AllJoyn API(CVE-2024-38257)
  • Microsoft リモートデスクトップライセンスサービス(CVE-2024-38258)
  • Microsoft 管理コンソール(CVE-2024-38259)
  • Microsoft リモートデスクトップライセンスサービス(CVE-2024-38260)
  • Microsoft リモートデスクトップライセンスサービス(CVE-2024-38263)
  • Microsoft リモートデスクトップライセンスサービス(CVE-2024-43454)
  • Microsoft リモートデスクトップライセンスサービス(CVE-2024-43455)
  • Windows の設定とデプロイ(CVE-2024-43457)
  • Windowsネットワーク仮想化(CVE-2024-43458)
  • Windows MSHTMLプラットフォーム(CVE-2024-43461)
  • Microsoft Office Visio(CVE-2024-43463)
  • Microsoft Office SharePoint(CVE-2024-43464)
  • Microsoft Office Excel(CVE-2024-43465)
  • Microsoft Office SharePoint(CVE-2024-43466)
  • Microsoftリモートデスクトップライセンスサービス(CVE-2024-43467)
  • Azure CycleCloud(CVE-2024-43469)
  • Azure Network Watcher(CVE-2024-43470)
  • SQL Server(CVE-2024-43474)
  • Windows管理センター(CVE-2024-43475)
  • Microsoft Dynamics 365(オンプレミス)(CVE-2024-43476)
  • Power Automate(CVE-2024-43479)
  • Microsoft Outlook for iOS(CVE-2024-43482)
  • Windows Mark of the Web (MOTW)(CVE-2024-43487)
  • Windows Update(CVE-2024-43491)
  • Microsoft AutoUpdate (MAU)(CVE-2024-43492)
  • Windows Libarchive(CVE-2024-43495)
  • Microsoft、2024年9月の月例更新 - 79件の脆弱性への対応が行われる

    図1 2024年9月のセキュリティ更新プログラム(月例パッチ)が公開された

マイクロソフトでは、セキュリティ更新プログラム、セキュリティアドバイザリに関する注意点として、以下をあげる。

  • 今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用や脆弱性の詳細が一般へ公開されていることを確認している。ユーザーにおいては、更新プログラムの適用を早急に行ってほしい。脆弱性の詳細は、各CVEのページを参照してほしい。
    • CVE-2024-43491 Microsoft Windows Updateのリモートでコードが実行される脆弱性
    • CVE-2024-38014 Windows インストーラーの特権の昇格の脆弱性
    • CVE-2024-38217 Windows Mark Of The Webセキュリティ機能のバイパスの脆弱性
    • CVE-2024-38226 Microsoft Publisherのセキュリティ機能のバイパスの脆弱性
  • 今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2024-43491 Microsoft Windows Updateのリモートでコードが実行される脆弱性は、CVSS基本値が9.8と高いスコアで、認証やユーザーの操作なしで悪用が可能である。本脆弱性は、Windows 10バージョン1507(Windows 10 Enterprise 2015 LTSBおよびWindows 10 IoT Enterprise 2015 LTSB)にのみ影響がある。その他のバージョンのWindows OSに影響はない。なお、本脆弱性からシステムを保護するためには、2024年9月10日にリリースされたサービススタック更新プログラムをインストールしたうえで、2024年9月10日にリリースされた Windows用の更新プログラムをインストールする必要がある。
    本脆弱性は、セキュリティ更新プログラムが公開されるよりも前に、脆弱性の悪用を確認している。脆弱性の特性を鑑み、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨する。
  • セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してほしい。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2024年9月セキュリティ更新プログラムリリースノートに掲載されている。

新たに確認した脆弱性に対応した新しいセキュリティ更新プログラムは、以下の通り。

Windows 11 v24H2、v23H2、v22H2、v21H2

緊急(リモートでコードの実行が可能)

  • v24H2:KB5043080
  • v23H2、v22H2:KB5043076
  • v21H2:KB5043067

Windows 11 v22H2、v23H2の更新プログラムであるKB5043076のハイライトの一部は

  • Windowsオペレーティングシステムのセキュリティの問題に対処する

である。

Windows 10 v22H2、21H2

緊急(リモートでコードの実行が可能)

  • KB5043064

Windows Server 2022、23H2(Server Core installationを含む)

緊急(リモートでコードの実行が可能)

  • Windows Server 2022:KB5042881
  • Windows Server 23H2:KB5043055

Windows Server 2019、2016(Server Core installationを含む)

緊急(リモートでコードの実行が可能)

  • Windows Server 2019:KB5043050
  • Windows Server 2016:KB5043051

Microsoft Office

重要(リモートでコードの実行が可能)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/officeupdates を参照してほしい。

Microsoft SharePoint

緊急(リモートでコードの実行が可能)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/officeupdates/sharepoint-updates を参照してほしい。

Microsoft Dynamics 365

重要(特権の昇格)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dynamics365 を参照してほしい。

Microsoft SQL Server

重要(リモートでコードが実行が可能)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/sql を参照してほしい。

Microsoft Azure

緊急(リモートでコードの実行が可能)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/azure を参照してほしい。

Power Automate for Desktop

重要(リモートでコードの実行が可能)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/power-automate を参照してほしい。