米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は11月14日(米国時間)、「Microsoft Releases October 2023 Security Updates|CISA」において、Windowsなど複数のMicrosoft製品に複数の脆弱性が存在するとして、注意を呼び掛けた。これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされている。

脆弱性に関する情報は次のページにまとまっている。

  • Security Update Guide - Microsoft

    Security Update Guide - Microsoft

脆弱性が存在するとされるプロダクトは次のとおり。

  • .NET Framework
  • ASP.NET
  • Azure
  • Azure DevOps
  • Microsoft Dynamics
  • Microsoft Dynamics 365 Sales
  • Microsoft Edge (Chromiumベース)
  • Microsoft Exchange Server
  • Microsoft Office
  • Microsoft Office Excel
  • Microsoft Office SharePoint
  • Microsoft Remote Registry Service
  • Microsoft WDAC OLE DB provider for SQL
  • Microsoft Windows Search Component
  • Microsoft Windows Speech
  • Open Management Infrastructure
  • Tablet Windows User Interface
  • Visual Studio
  • Visual Studio Code
  • Windows Authentication Methods
  • Windows Cloud Files Mini Filter Driver
  • Windows Common Log File System Driver
  • Windows Compressed Folder
  • Windows Defender
  • Windows Deployment Services
  • Windows DHCP Server
  • Windows Distributed File System (DFS)
  • Windows DWM Core Library
  • Windows HMAC Key Derivation
  • Windows Hyper-V
  • Windows Installer
  • Windows Internet Connection Sharing (ICS)
  • Windows Kernel
  • Windows NTFS
  • Windows Protected EAP (PEAP)
  • Windows Scripting
  • Windows SmartScreen
  • Windows Storage

修正対象となっている脆弱性と共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)v3.1スコア値は次のとおり。

  • CVE-2023-36007 7.6
  • CVE-2023-36014 7.3
  • CVE-2023-36016 6.2
  • CVE-2023-36017 8.8
  • CVE-2023-36018 7.8
  • CVE-2023-36021 8.0
  • CVE-2023-36022 6.6
  • CVE-2023-36024 7.1
  • CVE-2023-36025 8.8
  • CVE-2023-36027 7.1
  • CVE-2023-36028 9.8
  • CVE-2023-36029 4.3
  • CVE-2023-36030 6.1
  • CVE-2023-36031 7.6
  • CVE-2023-36033 7.8
  • CVE-2023-36034 7.3
  • CVE-2023-36035 8.0
  • CVE-2023-36036 7.8
  • CVE-2023-36037 7.8
  • CVE-2023-36038 8.2
  • CVE-2023-36039 8.0
  • CVE-2023-36041 7.8
  • CVE-2023-36042 6.2
  • CVE-2023-36043 6.5
  • CVE-2023-36045 7.8
  • CVE-2023-36046 7.1
  • CVE-2023-36047 7.8
  • CVE-2023-36049 7.6
  • CVE-2023-36050 8.0
  • CVE-2023-36052 8.6
  • CVE-2023-36392 7.5
  • CVE-2023-36393 7.8
  • CVE-2023-36394 7.0
  • CVE-2023-36395 7.5
  • CVE-2023-36396 7.8
  • CVE-2023-36397 9.8
  • CVE-2023-36398 6.5
  • CVE-2023-36399 7.1
  • CVE-2023-36400 8.8
  • CVE-2023-36401 7.2
  • CVE-2023-36402 8.8
  • CVE-2023-36403 7.0
  • CVE-2023-36404 5.5
  • CVE-2023-36405 7.0
  • CVE-2023-36406 5.5
  • CVE-2023-36407 7.8
  • CVE-2023-36408 7.8
  • CVE-2023-36410 7.6
  • CVE-2023-36413 6.5
  • CVE-2023-36422 7.8
  • CVE-2023-36423 7.2
  • CVE-2023-36424 7.8
  • CVE-2023-36425 8.0
  • CVE-2023-36427 7.0
  • CVE-2023-36428 5.5
  • CVE-2023-36437 8.8
  • CVE-2023-36439 8.0
  • CVE-2023-36558 6.2
  • CVE-2023-36560 8.8
  • CVE-2023-36705 7.8
  • CVE-2023-36719 8.4
  • CVE-2023-38151 8.8
  • CVE-2023-38177 6.1

今回の累積更新プログラムは複数のゼロデイ脆弱性を修正しているほか、修正対象となっている一部の脆弱性は深刻度が緊急(Critical)と分析されており注意が必要。該当する製品を使用している場合は迅速にアップデートを適用することが望まれる。

また、Windows 11向けに配信される今回の累積更新プログラムには新機能の導入も行われており、これまで開発者やアーリーアダプタが使用できたWindows 11の新しい機能が使えるようになっている点が注目される。