Microsoftは2022年4月13日(日本時間)、2022年4月の月例Windows UpdateとしてWindowsをはじめとしたセキュリティ更新プログラムを公開しました。セキュリティ脆弱性などの更新が含まれているので、Windows PCをお使いのユーザーは、なるべく早くアップデートを行いましょう。
今月のセキュリティ更新プログラムでは、Windowsのセキュリティ更新やバグ修正に関する計16件(緊急6件、重要10件)の新規セキュリティ情報を公開しています。
また、新規セキュリティ更新プログラムを公開すると共に、既存の脆弱性情報 2 件と、セキュリティアドバイザリ情報 1 件の更新を行いました。なお、今月の「悪意のあるソフトウェアの削除ツール」では、このツールで削除できる悪意のあるソフトウェアが追加されています。詳細は、対象のマルウェアファミリ を参照してください。
Windowsユーザーはできるだけ早く、2022年4月の公開セキュリティ更新プログラムを適用することが推奨されます。
今回、2022年4月13日(日本時間)公開のWindows Updateでセキュリティ更新プログラムを公開したMicrosoftの製品、コンポーネントは以下の通りです。
- .NET Framework
- Active Directory Domain Services
- Azure SDK
- Azure Site Recovery
- LDAP – ライトウェイト ディレクトリ アクセス プロトコル
- Microsoft Bluetooth ドライバー
- Microsoft Dynamics
- Microsoft Edge (Chromium ベース)
- Microsoft Graphics コンポーネント
- Microsoft Local Security Authority Server (lsasrv)
- Microsoft Office Excel
- Microsoft Office SharePoint
- Microsoft Windows ALPC
- Microsoft Windows Codecs Library
- Microsoft Windows Media Foundation
- Power BI
- ロール: DNS サーバー
- ロール: Windows Hyper-V
- Skype for Business
- Visual Studio
- Visual Studio Code
- Windows Ancillary Function Driver for WinSock
- Windows App Store
- Windows AppX パッケージ マネージャー
- Windows Cluster Client Failover
- Windows クラスター共有ボリューム (CSV)
- Windows 共通ログ ファイル システム ドライバー
- Windows Defender
- Microsoft DWM Core ライブラリ
- Windows Endpoint Configuration Manager
- Windows Fax Compose Form
- Windows Feedback Hub
- Windows エクスプローラー
- Windows File Server
- Windows インストーラー
- Windows iSCSI Target Service
- Windows Kerberos
- Windows カーネル
- Windows Local Security Authority Subsystem Service
- Windows Media
- Windows ネットワーク ファイル システム
- Windows PowerShell
- Windows 印刷スプーラー コンポーネント
- Windows RDP
- Windows リモート プロシージャ コール ランタイム
- Windows schannel
- Windows SMB
- Windows Telephony Server
- Windows Upgrade Assistant
- Windows User Profile Service
- Windows Win32K
- Windows Work Folder Service
- YARP reverse proxy
セキュリティ更新プログラム、セキュリティ アドバイザリに関する主な注意点
- CVE-2022-24521 Windows Common Log File System Driver における特権昇格の脆弱性は、既に、脆弱性の悪用が行われていることを確認しています。なお、この脆弱性詳細の一般への公開は、セキュリティ更新プログラムの公開時点では確認されていません。お客様においては、早急に、更新プログラムの適用を行ってください。詳細は、CVE-2022-24521を参照してください。
- 今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2022-26904 (Windows User Profile Service) は、セキュリティ更新プログラムの公開よりも前に、脆弱性の情報が一般に公開されていたことを確認しています。なお、この脆弱性の悪用は、セキュリティ更新プログラムの公開時点では確認されていません。
- 今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2022-24491 (Microsoft ネットワーク ファイル システム)、CVE-2022-24497 (Microsoft ネットワーク ファイル システム) および CVE-2022-26809 (リモート プロシージャ コール ランタイム)、は、CVSS 基本値が 9.8 と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性です。これらの脆弱性が存在する製品、および悪用が可能となる条件については、各CVEのページの「よく寄せられる質問」 を参照してください。セキュリティ更新プログラムが公開されるよりも前に、脆弱性の情報の一般への公開、脆弱性の悪用はありませんが、脆弱性の特性を鑑み、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨しています。
- 2022年4月のセキュリティ更新プログラムを展開する際のガイダンスは、2022 年 4 月のセキュリティ更新プログラムの展開に関するサポート技術情報 も併せてご参照ください。
- セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してください。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2022 年 4 月セキュリティ更新プログラム リリースノートに掲載されています。
2022年4月のセキュリティ更新プログラム
Microsoftが2022年4月13日(日本時間)に更新した新しいセキュリティ更新プログラムとして下記の項目が公開されています。
最新の情報は、セキュリティ更新プログラム ガイド を確認してください。
最大深刻度「緊急」のセキュリティ更新情報
製品ファミリ:Windows 11
■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
5012592
製品ファミリ:Windows 10 v21H2, v21H1, v20H2, v1909
■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
Windows 10 21H2 , 21H1 ,20H2 5012653
Windows 10 1909 , 5012591
製品ファミリ:Windows Server 2022 (Server Core installationを含む)
■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
5012604
製品ファミリ:Windows Server 2019 , 2016, v20 H2 (Server Core installation を含む)
■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
Windows Server 2019 ,5012647
Windows Server 2016 , 5012596
製品ファミリ:Windows 8.1, Windows Server 2012 R2, Windows Server 2012(Server Core installation を含む)
■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
Windows 8.1, Windows Server 2012 R2
Monthly Rollup 5012670
Windows 8.1, Windows Server 2012 R2
Security Only 5012639
Windows Server 2012
Monthly Rollup
5012650
Windows Server 2012
Security Only
5012666
製品ファミリ:Microsoft Dynamics 365
■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
Microsoft Dynamics 365 (on-premises) version 9.1
5012731 Microsoft Dynamics 365 (on-premises) version 9.0
5012732
最大深刻度「重要」のセキュリティ更新情報
製品ファミリ:Microsoft Office
■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド およびhttps://docs.microsoft.com/officeupdates を参考にしてください。
製品ファミリ:Microsoft SharePoint
■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド およびhttps://docs.microsoft.com/ja-jp/SharePoint/ を参考にしてください。
製品ファミリ:Microsoft Skype for Business Server and Lync Server
■最も大きな影響を受ける内容
情報漏えい
■関連するサポート技術情報またはサポートのWebページ
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド およびhttps://docs.microsoft.com/ja-jp/skypeforbusiness/sfb-server-updates を参考にしてください。
製品ファミリ:Microsoft .NET
■最も大きな影響を受ける内容
サービス拒否
■関連するサポート技術情報またはサポートのWebページ
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド および https://docs.microsoft.com/dotnet を参考にしてください。
製品ファミリ:Microsoft Visual Studio
■最も大きな影響を受ける内容
特権の昇格
■関連するサポート技術情報またはサポートのWebページ
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド および https://docs.microsoft.com/visualstudio を参考にしてください。
製品ファミリ:Microsoft Defender for Endpoint
■最も大きな影響を受ける内容
なりすまし
■関連するサポート技術情報またはサポートのWebページ
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイドを参考にしてください。
製品ファミリ:Microsoft Malware Protection Engine
■最も大きな影響を受ける内容
サービス拒否
■関連するサポート技術情報またはサポートのWebページ
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイドを参考にしてください。
製品ファミリ:Microsoft Azure Site Recovery (VMware から Azure へのディザスター リカバリー)
■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド および Azure Site Recovery – KB5012960 の更新プログラムのロールアップ 61を参考にしてください。
製品ファミリ:Microsoft Azure SDK for .NET
■最も大きな影響を受ける内容
情報漏えい
■関連するサポート技術情報またはサポートのWebページ
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド および https://www.nuget.org/packages/Microsoft.Rest.ClientRuntime をご確認ください。
製品ファミリ:Microsoft On-Premises Data Gateway
■最も大きな影響を受ける内容
なりすまし
■関連するサポート技術情報またはサポートのWebページ
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド および https://docs.microsoft.com/data-integration/gateway/service-gateway-onprem を参考にしてください。
既存の脆弱性情報の更新
Microsoftが2022年4月13日(日本時間)に更新した新しいセキュリティ脆弱性は次の通りです。
- CVE-2020-8927 Brotli ライブラリのバッファー オーバーフローの脆弱性
1) Visual Studio 2022 バージョン 17.1 はこの脆弱性の影響を受けるため、「セキュリティ更新プログラム」一覧に追加しました。このバージョンの Visual Studio 2022 を実行している場合は、この脆弱性から保護するために、2022 年 4 月のセキュリティ更新プログラムをインストールする必要があります。
2) 対象となる.NETのバージョンを修正済み ビルド 番号に追加しました。 - CVE-2021-43877 ASP.NET Core および Visual Studio のサービス拒否の脆弱性
1) Visual Studio 2022 バージョン 17.1 はこの脆弱性の影響を受けるため、「セキュリティ更新プログラム」一覧に追加しました。このバージョンの Visual Studio 2022 を実行している場合は、この脆弱性から保護するために、2022 年 4 月のセキュリティ更新プログラムをインストールする必要があります。
2) リンクを修正しました。
既存のセキュリティ アドバイザリの更新
Microsoftが2022年4月13日(日本時間)に更新した新しいセキュリティアドバイザリは次の通りです。
- ADV990001 最新のサービス スタック更新プログラム
新しいバージョンのサービス スタック更新プログラムが入手可能であることをお知らせするために、アドバイザリが更新されました。詳細については、アドバイザリのFAQ を参照してください。
最新のサービス スタック更新プログラム (SSU) は、アドバイザリ ADV990001 にてご確認ください。
Microsoft Edge (Chromium-based) のセキュリティ情報は、公開のスケジュールが月例のリリースとは異なりますので、セキュリティ更新プログラム ガイド上で製品にて Microsoft Edge (Chromium-based) を選択してご確認ください。または、Edge のセキュリティ リリース情報にてご確認ください。
各脆弱性情報 (CVE) のページには、緩和策、回避策、注意事項やよく寄せられる質問など、追加の情報が掲載されている場合があります。セキュリティ更新プログラムの適用の前に、併せてご確認ください。
最新の情報は、セキュリティ更新プログラム ガイド を確認してください。セキュリティ更新プログラムガイドでは、セキュリティの脆弱性および更新プログラムの情報を、CVE、KB 番号、製品、またはリリース日別に並べ替えたりフィルターをかけたりすることができます。各月のセキュリティ更新プログラムを絞り込むには、日付範囲に絞り込む月の第 2 火曜日を指定して検索してください。なお、セキュリティ更新プログラム ガイド API を活用して、自社に特化したカスタム レポートを作成することができます。API の活用方法を紹介する 6 つのビデオ (API の情報 (GitHub)、API へのアクセス、HTML ファイルの出力、Excel へのエクスポート、CVE リストの取得、KB リストの取得) を公開していますので、是非ご活用ください。
セキュリティ更新プログラム ガイド に更新があった場合の通知を受け取る仕組みの実装が予定されています。詳しくは、 ブログ “Coming Soon: A Brand-New Notification System!” をご参照ください。
次回、2022年5月のWindows Update、セキュリティ更新プログラムのリリースは、5月11日(日本時間)の予定となっています。2022年の年間スケジュールについてはこちらを参照ください。
Source:Microsoft