米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は7月9日(米国時間)、「Microsoft Releases July 2024 Security Updates|CISA」において、Microsoftが2024年7月のセキュリティ更新プログラムをリリースしたと報じた。Microsoftはこのセキュリティ更新プログラムにおいて、Windowsなど複数のMicrosoft製品に対する合計139件の脆弱性を修正している。
脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
-
Security Update Guide - Microsoft
脆弱性が存在する製品
脆弱性が存在するとされる製品は次のとおり。
- .NETとVisual Studio
- Active Directoryフェデレーションサービス
- Azure CycleCloud
- Azure DevOps
- Azure Kinect SDK
- Azure Network Watcher
- Microsoft Defender for IoT
- Microsoft Dynamics
- Microsoft Graphicsコンポーネント
- Microsoft Office
- Microsoft Office Outlook
- Microsoft Office SharePoint
- Microsoft Streamサービス
- Microsoft Windows Codecs Library
- Microsoft WS-Discovery
- Microsoft リモートデスクトップライセンスサービス
- Microsoft 分散トランザクションコーディネーター
- NDIS
- SQL Server
- Windows BitLocker
- Windows COMセッション
- Windows CoreMessaging
- Windows Cryptographicサービス
- Windows DHCPサーバ
- Windows Faxとスキャンサービス
- Windows Image Acquisition
- Windows iSCSI
- Windows LockDown Policy (WLDP)
- Windows MSHTML Platform
- Windows MultiPoint Services
- Windows NTLM
- Windows PowerShell
- Windows Remote Access Connection Manager
- Windows Serverバックアップ
- Windows TCP/IP
- Windows Themes
- Windows Win32カーネルサブシステム
- Windows Win32K - ICOMP
- Windows Win32K: GRFX
- Windows インターネット接続の共有 (ICS)
- Windows オンライン証明書状態プロトコル (OCSP)
- Windows カーネル
- Windows カーネルモードドライバー
- Windows セキュアブート
- Windows パフォーマンスモニター
- Windows フィルタリング
- Windows メッセージキュー
- Windows リモートデスクトップ
- Windows ワークステーションサービス
- Windows 登録エンジン
- XBox Crypto Graphic Services
- ラインプリンターデーモン(LPD)サービス
- ロール: Active Directory証明書サービス、Active Directoryドメインサービス
- ロール: Windows Hyper-V
対策
修正された脆弱性のうち、Windows Hyper-Vの「CVE-2024-38080」および、Windows MSHTMLプラットフォームの「CVE-2024-38112」はすでに悪用が確認されており、速やかなアップデートが望まれている。
セキュリティ更新プログラムの対象となる製品が多岐にわたる上、脆弱性の一部は深刻度が緊急(Critical)と評価されており注意が必要。CISAは、必要に応じてアップデートを適用することを推奨している。
