米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は10月10日(米国時間)、「Microsoft Releases October 2023 Security Updates|CISA」において、Windowsなど複数のMicrosoft製品に複数の脆弱性が存在するとして、注意を呼び掛けた。これら脆弱性を悪用されると、遠隔から攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性がある。
脆弱性に関する情報は次のページにまとまっている。
- 2023 年 10 月のセキュリティ更新プログラム - リリース ノート - セキュリティ更新プログラム ガイド - Microsoft
- Security Update Guide - Microsoft
脆弱性が存在するとされるプロダクトは次のとおり。
- Active Directory Domain Services
- Azure
- Azure DevOps
- Azure SDK
- Azure リアルタイム オペレーティング システム
- Client Server Run-time Subsystem (CSRSS)
- Microsoft Common Data Model SDK
- Microsoft Dynamics
- Microsoft Exchange Server
- Microsoft Graphics コンポーネント
- Microsoft Office
- Microsoft QUIC
- Microsoft Windows Media Foundation
- Microsoft Windows 検索コンポーネント
- Microsoft ワードパッド
- Skype for Business
- SQL Server
- SQL 用 Microsoft WDAC OLE DB プロバイダー
- Windows Active Template Library
- Windows AllJoyn API
- Windows Client/Server Runtime Subsystem
- Windows Container Manager サービス
- Windows DHCP サーバー
- Windows HTML プラットフォーム
- Windows IIS
- Windows IKE 拡張
- Windows Mark of the Web (MOTW)
- Windows Microsoft DirectMusic
- Windows Mixed Reality Developer Tools
- Windows NT OS カーネル
- Windows Power Manager サービス
- Windows RDP
- Windows Resilient File System (ReFS)
- Windows TCP/IP
- Windows TPM
- Windows Win32K
- Windows エラー報告
- Windows カーネル
- Windows セットアップ ファイル クリーンアップ
- Windows トラステッド プラットフォーム モジュール
- Windows メッセージ キュー
- Windows ランタイム C++ テンプレート ライブラリ
- Windows リモート プロシージャ コール
- Windows レイヤー 2 トンネリング プロトコル
- Windows 共通ログ ファイル システム ドライバー
- Windows 展開サービス
- Windows 名前付きパイプ ファイル システム
セキュリティアップデートの対象となる製品は多岐にわたる上、一部の脆弱性は深刻度が緊急(Critical)に分類されており注意が必要。CISAは、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。
MicrosoftはすでにWindows Updateなどを通じて修正プログラムの配信を行っている。該当する製品を使用している場合には内容を確認するとともに迅速にアップデートを適用することが望まれる。