0 / 140

【Windows Update】Microsoft、2022年6月のセキュリティ更新プログラムを公開!

Microsoftは2022年6月15日(日本時間)、2022年6月の月例Windows UpdateとしてWindowsをはじめとしたセキュリティ更新プログラムを公開しました。セキュリティ脆弱性などの更新が含まれているので、Windows PCをお使いのユーザーは、なるべく早くアップデートを行いましょう。

今月のセキュリティ更新プログラムでは、Windowsのセキュリティ更新やバグ修正に関する計12件(緊急5件、重要7件)の新規セキュリティ情報を公開しています。

また、新規セキュリティ更新プログラムを公開すると共に、既存の脆弱性情報 6 件と、新規セキュリティアドバイザリ情報 4 件の公開を行いました。
なお、今月の「悪意のあるソフトウェアの削除ツール」では、新たに対応を追加したファミリはありません。

Windowsユーザーはできるだけ早く、2022年6月の公開セキュリティ更新プログラムを適用することが推奨されます。

今回、2022年6月15日(日本時間)公開のWindows Updateでセキュリティ更新プログラムを公開したMicrosoftの製品、コンポーネントは以下の通りです。

  • .NET と Visual Studio
  • Azure OMI
  • Azure リアルタイム オペレーティング システム
  • Azure Service Fabric コンテナー
  • Intel
  • Microsoft Edge (Chromium ベース)
  • Microsoft Office
  • Microsoft Office Excel
  • Microsoft Office SharePoint
  • Microsoft Windows ALPC
  • Microsoft Windows Codecs Library
  • リモート ボリューム シャドウ コピー サービス (RVSS)
  • ロール: Windows Hyper-V
  • SQL Server
  • Windows Ancillary Function Driver for WinSock
  • Windows App Store
  • Windows Autopilot
  • Windows Container Isolation FS Filter ドライバー
  • Windows Container Manager サービス
  • Windows Defender
  • Windows Encrypting File System (EFS)
  • Windows File History Service
  • Windows インストーラー
  • Windows iSCSI
  • Windows Kerberos
  • Windows カーネル
  • Windows LDAP – ライトウェイト ディレクトリ アクセス プロトコル
  • Windows Local Security Authority Subsystem Service
  • Windows Media
  • Windows Network Address Translation (NAT)
  • Windows ネットワーク ファイル システム
  • Windows PowerShell
  • Windows SMB

セキュリティ更新プログラム、セキュリティ アドバイザリに関する主な注意点

  • 2022 年 5 月 30 日 月曜日(米国時間) に公開した CVE-2022-30190 (Microsoft Windows Support Diagnostic Tool (MSDT) のリモートでコードが実行される脆弱性) の修正する更新プログラムを公開しました。修正は、6 月の月例セキュリティ更新プログラムに含まれています。本脆弱性は、既に脆弱性の詳細が一般に公開されており、脆弱性の悪用が行われていることを確認しています。お客様においては、早急に、更新プログラムの適用を行ってください。詳細は、CVE-2022-30190 および CVE-2022-30190 マイクロソフト サポート診断ツールの脆弱性に関するガイダンス を参照してください。
  • CVE-2022-30136 (Microsoft ネットワーク ファイル システム) は、CVSS 基本値が9.8 と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性です。これらの脆弱性が存在する製品、および悪用が可能となる条件については、CVEのページの「よく寄せられる質問」 を参照してください。セキュリティ更新プログラムが公開されるよりも前に、脆弱性の情報の一般への公開、脆弱性の悪用はありませんが、脆弱性の特性を鑑み、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨しています。
  • 2022 年 6 月のセキュリティ更新プログラムを展開する際のガイダンスは、2022 年 6 月のセキュリティ更新プログラムの展開に関するサポート技術情報 も併せてご参照ください。
  • セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してください。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2022 年 6 月セキュリティ更新プログラム リリースノートに掲載されています。

2022年6月のセキュリティ更新プログラム

Microsoftが2022年6月15日(日本時間)に更新した新しいセキュリティ更新プログラムとして下記の項目が公開されています。
最新の情報は、セキュリティ更新プログラム ガイド を確認してください。

最大深刻度「緊急」のセキュリティ更新情報

製品ファミリ:Windows 11

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
5014697

製品ファミリ:Windows 10 v21H2, v21H1 および v20H2

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
5014699

製品ファミリ:Windows Server 2022 (Server Core installationを含む)

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
5014678

製品ファミリ:Windows Server 2019 , 2016, v20 H2 (Server Core installation を含む)

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
Windows Server 2019 , 5014692 Windows Server 2016 , 5014702

製品ファミリ:Windows 8.1, Windows Server 2012 R2, Windows Server 2012(Server Core installation を含む)

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
Windows 8.1, Windows Server 2012 R2 Monthly Rollup 5014738 Security Only 5014746   Windows Server 2012 Monthly Rollup 5014747 Security Only 5014741

最大深刻度「重要」のセキュリティ更新情報

製品ファミリ:Microsoft Office

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド およびhttps://docs.microsoft.com/officeupdates を参考にしてください。

製品ファミリ:Microsoft SharePoint

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド およびhttps://docs.microsoft.com/ja-jp/SharePoint/ を参考にしてください。

製品ファミリ:Microsoft .NET

■最も大きな影響を受ける内容
情報漏えい
■関連するサポート技術情報またはサポートのWebページ
セキュリティ更新プログラムの詳細については、セセキュリティ更新プログラム ガイド および https://docs.microsoft.com/dotnet を参考にしてください。

製品ファミリ:Microsoft Visual Studio

■最も大きな影響を受ける内容
情報漏えい
■関連するサポート技術情報またはサポートのWebページ
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド および https://docs.microsoft.com/visualstudio を参考にしてください。

製品ファミリ:Microsoft SQL Server

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド および  https://docs.microsoft.com/SQL を参考にしてください。

製品ファミリ:System Center Operations Manager (SCOM)

■最も大きな影響を受ける内容
特権の昇格
■関連するサポート技術情報またはサポートのWebページ
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド および https://docs.microsoft.com/system-center/scom を参考にしてください。

製品ファミリ:Azure Open Management Infrastructure

■最も大きな影響を受ける内容
特権の昇格
■関連するサポート技術情報またはサポートのWebページ
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド および https://docs.microsoft.com/azure を参考にしてください。

既存の脆弱性情報の更新

Microsoftが2022年6月15日(日本時間)に更新した既存のセキュリティ脆弱性(6件)は次の通りです。

CVE-2021-26414 Windows DCOM サーバーのセキュリティ機能のバイパスの脆弱性
マイクロソフトは、この脆弱性に対する第 2 フェーズの強化の変更の対応のため、2022 年 6 月 15 日の Windows セキュリティ更新プログラムのリリースを発表しています。これらの更新プログラムをインストールすると、DCOM サーバー上のRPC_C_AUTHN_LEVEL_PKT_INTEGRITYが既定で有効になります。これを行う必要がある場合は、RequireIntegrityActivationAuthenticationLevel レジストリ キーを使用して無効にすることができます。マイクロソフトは、2022 年 6 月 15 日の更新プログラムをインストールし、お使いの環境でテストを完了し、できるだけ早くこれらの強化を有効にすることを強くお勧めします。

CVE-2022-24513 Visual Studio の特権の昇格の脆弱性
マイクロソフトは、サポートされている次のバージョンの Visual Studioに関する CVE-2022-24513 をさらに解決するために、2022 年 6 月のセキュリティ更新プログラムをリリースしました。
Visual Studio 2017 Version 15.9
Visual Studio 2019 Version 16.9
Visual Studio 2019 Version 16.11
Microsoft Visual Studio 2022 Version 17.0
Visual Studio 2019 for Mac Version 8.10
また、この脆弱性の影響を受ける Visual Studio 2022 for Mac バージョン 17.0 が「セキュリティ更新プログラム」一覧に追加されました。この脆弱性から完全に保護するために、これらの更新プログラムをインストールすることを強くお勧めします。

CVE-2022-24527 Windows Endpoint Configuration Manager の特権の昇格の脆弱性
次の点が修正されました。1) この脆弱性の影響を受ける Microsoft Endpoint Configuration Manager を「セキュリティ更新プログラム」一覧に追加しました。2) この脆弱性を解決する更新プログラムは Windows セキュリティ更新プログラムを介して入手できないため、「セキュリティ更新プログラム」一覧からすべてのバージョンの Windows を削除しました。3) この脆弱性を解決する Microsoft Endpoint Configuration Manager の修正プログラムを入手する方法に関する情報を提供するために、FAQ を更新しました。4) CVE のタイトルを修正しました。

CVE-2022-26832 .NET Framework のサービス拒否の脆弱性
「セキュリティ更新プログラム」一覧を追記しました。Windows 10 Version 1607、Windows Server 2016 および Windows Server 2016 (Server Core インストール) にインストールされている .NET Framework 4.6.2/4.7/4.7.1/4.7.2
4.6.2/4.7/4.7.1/4.7.2 がインストールされている場合、この脆弱性の影響を受けます。これらのバージョンの .NET Framework を実行しているお客様は、この脆弱性から保護するために、2022 年 4 月のセキュリティ更新プログラムをインストールする必要があります。

CVE-2022-23267 .NET および Visual Studio のサービス拒否の脆弱性
Visual Studio for Mac のこれらのバージョンはこの脆弱性の影響を受けるので、「セキュリティ更新プログラム」一覧に Visual Studio 2019 for Mac と Visual Studio 2022 for Mac を追加しました。これらのバージョンの Visual Studio を実行している場合は、この脆弱性から完全に保護するために、この更新プログラムをインストールすることを強くお勧めします。

CVE-2022-30190 Microsoft Windows Support Diagnostic Tool (MSDT) のリモートでコードが実行される脆弱性
この脆弱性の更新プログラムは、2022 年 6 月の累積的な Windows 更新プログラムに含まれています。この脆弱性から完全に保護するために、この更新プログラムをインストールすることを強くお勧めします。システムが自動更新を受信するように構成されているお客様は、特別な措置を講じる必要はありません。

新規セキュリティ アドバイザリの公開

Microsoftが2022年6月15日(日本時間)に公開した新規のセキュリティアドバイザリは次の通りです。

ADV220002 Microsoft Guidance on Intel Processor MMIO Stale Data Vulnerabilities
2022 年 6 月 14 日、Intel は、プロセッサ MMIO の古いデータの脆弱性と呼ばれるメモリ マップ I/O の脆弱性のクラスに関する情報を公開しました。

マイクロソフトは、これらの脆弱性を緩和するために役立つソフトウェア更新プログラムをリリースしました。利用できるすべての保護を受けるには、ファームウェア (マイクロコード) とソフトウェアの更新プログラムが必要です。マイクロコードの更新プログラムについては、OEM にお問い合わせください。マイクロソフトは、現時点で本脆弱性の悪用を確認していません。推奨される操作と潜在的なパフォーマンスの影響の詳細については、ADV220002 – Microsoft Guidance on Intel Processor MMIO Stale Data Vulnerabilities を参照してください。

最新のサービス スタック更新プログラム (SSU) は、アドバイザリ ADV990001 にてご確認ください。

Microsoft Edge (Chromium-based) のセキュリティ情報は、公開のスケジュールが月例のリリースとは異なりますので、セキュリティ更新プログラム ガイド上で製品にて Microsoft Edge (Chromium-based) を選択してご確認ください。または、Edge のセキュリティ リリース情報にてご確認ください。

各脆弱性情報 (CVE) のページには、緩和策、回避策、注意事項やよく寄せられる質問など、追加の情報が掲載されている場合があります。セキュリティ更新プログラムの適用の前に、併せてご確認ください。

最新の情報は、セキュリティ更新プログラム ガイド を確認してください。セキュリティ更新プログラムガイドでは、セキュリティの脆弱性および更新プログラムの情報を、CVE、KB 番号、製品、またはリリース日別に並べ替えたりフィルターをかけたりすることができます。各月のセキュリティ更新プログラムを絞り込むには、日付範囲に絞り込む月の第 2 火曜日を指定して検索してください。なお、セキュリティ更新プログラム ガイド API を活用して、自社に特化したカスタム レポートを作成することができます。API の活用方法を紹介する 6 つのビデオ (API の情報 (GitHub)API へのアクセスHTML ファイルの出力Excel へのエクスポートCVE リストの取得KB リストの取得) を公開していますので、是非ご活用ください。

セキュリティ更新プログラム ガイド に更新があった場合の通知を受け取る仕組みの実装が予定されています。詳しくは、 ブログ “Coming Soon: A Brand-New Notification System!” をご参照ください。

2022 年 6 月 15 日 (米国時間) 以降、Internet Explorer 11 (IE11) デスクトップ アプリケーションは、Windows 10 半期チャネルおよび Windows 10 IoT 半期チャネルでのサポートを終了します。詳しくは、Internet Explorer 11 デスクトップ アプリケーションのサポート終了 – 発表に関連する FAQ のアップデート をご参照ください。

次回、2022年7月のWindows Update、セキュリティ更新プログラムのリリースは、7月13日(日本時間)の予定となっています。2022年の年間スケジュールについてはこちらを参照ください。

Source:Microsoft

つぶやき

Facebookのコメント

この記事へのコメント

メールアドレスが公開されることはありません。