米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は2月8日(米国時間)、「Microsoft Releases February 2022 Security Updates|CISA」において、Microsoftの複数の製品に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によってシステムの制御権が乗っ取られる危険性があるとされている。
脆弱性に関する情報は次のページにまとまっている。
- February 2022 Security Updates - Release Notes - Security Update Guide - Microsoft
- Deployments - Security Update Guide - Microsoft
脆弱性が存在するとされるプロダクトは次のとおり。
- Azure Data Explorer
- Kestrel Web Server
- Microsoft Dynamics
- Microsoft Dynamics GP
- Microsoft Edge (Chromium版)
- Microsoft Office
- Microsoft Office Excel
- Microsoft Office Outlook
- Microsoft Office SharePoint
- Microsoft Office Visio
- Microsoft OneDrive
- Microsoft Teams
- Microsoft Windows Codecs Library
- Power BI
- Roaming Security Rights Management Services
- Role: DNS Server
- Role: Windows Hyper-V
- SQL Server
- Visual Studio Code
- Windows Common Log File System Driver
- Windows DWM Core Library
- Windows Kernel
- Windows Kernel-Mode Drivers
- Windows Named Pipe File System
- Windows Print Spooler Components
- Windows Remote Access Connection Manager
- Windows Remote Procedure Call Runtime
- Windows User Account Profile
- Windows Win32K
今月は深刻度が最も高い緊急(Critical)の脆弱性は修正されておらず、一部の脆弱性は深刻度が重要(Important)に分類されている。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。
Microsoftはこのところ、月例の累積更新プログラムで問題の修正のみならず新たな不具合を引き起こすケースを繰り返しており、管理者やユーザーの中にはアップデートの適用を控える向きもある。しかし、セキュリティの観点から基本的に月例の累積更新プログラムは迅速に適用することが望まれる。不具合が発生した場合は、適用した累積更新プログラムを差し戻し、問題が解決するまで様子を見るといった対処を取ることが望まれる。