米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は9月12日(米国時間)、「Microsoft Releases September 2023 Updates|CISA」において、Windowsなど複数のMicrosoft製品に複数の脆弱性が存在すると伝えた。
これら脆弱性を悪用されると、遠隔から攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされている。脆弱性に関する情報は次のページにまとまっている。
- 2023 年 9 月のセキュリティ更新プログラム - リリース ノート - セキュリティ更新プログラム ガイド - Microsoft
- Security Update Guide - Microsoft
脆弱性が存在するとされるプロダクトは次のとおり。
- .NET Core と Visual Studio
- .NET Framework
- .NET と Visual Studio
- 3D Builder
- 3D ビューアー
- Azure DevOps
- Azure HDInsights
- Microsoft Azure Kubernetes Service
- Microsoft Dynamics
- Microsoft Dynamics Finance & Operations
- Microsoft Exchange Server
- Microsoft Identity Linux ブローカー
- Microsoft Office
- Microsoft Office Excel
- Microsoft Office Outlook
- Microsoft Office SharePoint
- Microsoft Office Word
- Microsoft Stream サービス
- Microsoft Windows Codecs Library
- Visual Studio
- Visual Studio Code
- Windows Cloud Files Mini Filter Driver
- Windows Defender
- Windows DHCP サーバー
- Windows GDI
- Windows TCP/IP
- Windows Themes
- Windows インターネット接続の共有 (ICS)
- Windows カーネル
- Windows スクリプト
- Windows 共通ログ ファイル システム ドライバー
修正対象となっている脆弱性のうち「CVE-2023-36802」および「CVE-2023-36761」は、Microsoftによって悪用の事実が確認されている。今後、これら脆弱性を利用した被害が拡大することが指摘されており、迅速にアップデートを適用することが望まれている(参考「Microsoft 製品の脆弱性対策について(2023年9月) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構」)。
セキュリティアップデートの対象となる製品が多岐にわたる上、一部の脆弱性は深刻度が緊急(Critical)に分類されており注意が必要。MicrosoftはすでにWindows Updateなどを通じて修正プログラムの配信を行っている。該当する製品を使用している場合は、内容を確認するとともに迅速にアップデートを適用することが望まれる。