【Windows Update】Microsoft、2022年8月のセキュリティ更新プログラムを公開！

Microsoftは2022年8月10日(日本時間)、2022年8月の月例Windows UpdateとしてWindowsをはじめとしたセキュリティ更新プログラムを公開しました。セキュリティ脆弱性などの更新が含まれているので、Windows PCをお使いのユーザーは、なるべく早くアップデートを行いましょう。

今月のセキュリティ更新プログラムでは、Windowsのセキュリティ更新やバグ修正に関する計10件（緊急7件、重要3件）の新規セキュリティ情報を公開しています。

また、新規セキュリティ更新プログラムを公開すると共に、既存の脆弱性情報 2 件と、既存のセキュリティアドバイザリ情報 2 件の更新を行いました。
なお、今月の悪意のあるソフトウェアの削除ツールでは、新たに対応を追加したファミリはありませんでした。

Windowsユーザーはできるだけ早く、2022年8月の公開セキュリティ更新プログラムを適用することが推奨されます。

2022年8月のセキュリティ更新プログラムを公開した製品、コンポーネント一覧

Microsoftが2022年8月10日（日本時間）にセキュリティ更新プログラムを公開した製品およびコンポーネントの一覧が公開されています。
最新の情報は、2022 年 8 月セキュリティ更新プログラムリリースノートをご確認ください。

.NET Core
Active Directory Domain Services
Azure Batch Node Agent
Azure リアルタイムオペレーティングシステム
Azure Site Recovery
Azure Sphere
Microsoft ATA ポートドライバー
Microsoft Bluetooth ドライバー
Microsoft Edge (Chromium ベース)
Microsoft Exchange Server
Microsoft Office
Microsoft Office Excel
Microsoft Office Outlook
Microsoft Windows Support Diagnostic Tool (MSDT)
リモートアクセスサービス Point-to-Point トンネリングプロトコル
ロール: Windows Fax サービス
ロール: Windows Hyper-V
System Center Operations Manager
Visual Studio
Windows Bluetooth サービス
Windows Canonical Display Driver
Windows Cloud Files Mini Filter Driver
Windows Defender Credential Guard
Windows Digital Media
Windows エラー報告
Windows Hello
Windows インターネットインフォメーションサービス
Windows Kerberos
Windows カーネル
Windows Local Security Authority (LSA)
Windows ネットワークファイルシステム
Windows Partition Management Driver
Windows Point-to-Point Tunneling プロトコル
Windows 印刷スプーラーコンポーネント
Windows セキュアブート
Windows Secure Socket トンネリングプロトコル (SSTP)
Windows 記憶域スペースダイレクト
Windows 統合書き込みフィルター
Windows WebBrowser コントロール
Windows Win32K

セキュリティ更新プログラム、セキュリティアドバイザリに関する主な注意点

今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2022-34713 Microsoft Windows Support Diagnostic Tool (MSDT) のリモートでコードが実行される脆弱性は、既に脆弱性の悪用が行われていることを確認しています。また、この脆弱性については、セキュリティ更新プログラムの公開よりも前に、脆弱性の情報が一般に公開されていたことを確認しています。お客様においては、早急に、更新プログラムの適用を行ってください。詳細は、CVE-2022-34713 を参照してください。
今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2022-30134 Microsoft Exchange Server の特権の昇格の脆弱性は、セキュリティ更新プログラムの公開よりも前に、脆弱性の情報が一般に公開されていたことを確認しています。なお、この脆弱性の悪用は、セキュリティ更新プログラムの公開時点では確認されていません。詳細は、CVE-2022-30134 および Released: August 2022 Exchange Server Security Updates を確認してください。
今月の Microsoft Exchange Server のいくつかの脆弱性から完全にシステムを保護するためには、Exchange サーバーに 2022 年 8 月の更新プログラムを適用後、 Windows Extended protection を有効化する必要があります。詳細は、Released: August 2022 Exchange Server Security Updates および Exchange Server Support for Windows Extended Protectionを参照してください。
CVE-2022-34715 (ネットワークファイルシステム)、CVE-2022-30133(Windows Point-to-Point プロトコル) は、CVSS 基本値が9.8 と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性です。これらの脆弱性が存在する製品、および悪用が可能となる条件については、各CVEのページの「よく寄せられる質問」を参照してください。セキュリティ更新プログラムが公開されるよりも前に、脆弱性の情報の一般への公開、脆弱性の悪用はありませんが、脆弱性の特性を鑑み、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨しています。
CVE-2022-34301、CVE-2022-34302 および CVE-2022-34303 はSecure Boot に関する脆弱性です。これらの脆弱性は、第三者機関によって採番された脆弱性ですが、マイクロソフトが提供する更新プログラムを適用しセキュアブートのコンポーネントを更新する必要があります。Windows Update の自動更新が有効になっている組織では、自動で更新が行われるため、追加の操作は不要です。更新管理を組織で行っている場合および更新を手動で行っている組織では、更新プログラムの適用順序にご留意ください。詳細は、各 CVE 情報を参照してください。
2021 年 7 月 13 日に公開した更新プログラムに含まれる CVE-2021-33764 のためのセキュリティ強化に関する一時的な軽減策は、今月の月例更新プログラムを適用することで、使用できなくなります。Smartcard 認証プリンターとスキャナーは、Active Directory ドメインコントローラーにこれらの更新プログラムまたはそれ以降をインストールした後、CVE-2021-33764 に必要な RFC 4556 仕様のセクション 3.2.1 に準拠している必要があります。詳細については、KB5005408: スマートカード認証によって印刷およびスキャンエラーが発生する可能性があるを参照ください。
セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してください。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2022 年 8 月セキュリティ更新プログラムリリースノートに掲載されています。

2022年8月のセキュリティ更新プログラム一覧

Microsoftが2022年8月10日（日本時間）に公開したセキュリティ更新プログラムは次の通りです。最新の情報は、セキュリティ更新プログラムガイドを確認してください。

最大深刻度「緊急」のセキュリティ更新情報

製品ファミリ：Windows 11

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
5016629

製品ファミリ：Windows 10 v21H2, v21H1 および v20H2

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
5016616

製品ファミリ：Windows Server 2022 (Server Core installationを含む)

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
5016627

製品ファミリ：Windows Server 2019 , 2016, v20 H2 (Server Core installation を含む)

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
Windows Server 2019, 5016623 Windows Server 2016, 5016622

製品ファミリ：Windows 8.1, Windows Server 2012 R2, Windows Server 2012(Server Core installation を含む)

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
Windows 8.1, Windows Server 2012 R2
Monthly Rollup 5016681 Security Only 5016683
Windows Server 2012
Monthly Rollup 5016672 Security Only 5016684

製品ファミリ：Microsoft Exchange Server

■最も大きな影響を受ける内容
特権の昇格
■関連するサポート技術情報またはサポートのWebページ
Released: August 2022 Exchange Server Security Updates
h4>製品ファミリ：Microsoft Visual Studio

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドおよび https://docs.microsoft.com/visualstudio を参考にしてください。

最大深刻度「重要」のセキュリティ更新情報

製品ファミリ：Microsoft Office

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドおよびhttps://docs.microsoft.com/officeupdates を参考にしてください。

製品ファミリ：Microsoft .NET

■最も大きな影響を受ける内容
なりすまし
■関連するサポート技術情報またはサポートのWebページ
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドおよび https://docs.microsoft.com/dotnet を参考にしてください。

製品ファミリ：Microsoft Azure-related software

■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドおよび https://docs.microsoft.com/ja-jp/azure を参考にしてください。

既存の脆弱性情報の更新

Microsoftが2022年8月10日（日本時間）に更新した既存のセキュリティ脆弱性（2件）は次の通りです。

CVE-2022-30130.NET Framework のサービス拒否の脆弱性
本脆弱性に包括的に対処するため、マイクロソフトは、Windows 8.1 および Windows Server 2012 R2 にインストールされている .NET Framework 3.5 用の月例ロールアップ KB5016268 を公開しました。マイクロソフトでは、本脆弱性を完全に防御するために、本アップデートをインストールすることを強く推奨しています。自動更新を受け取るように設定されているお客様は、これ以上対応する必要はありません。
CVE-2022-26832.NET Framework のサービス拒否の脆弱性
本脆弱性に包括的に対処するため、マイクロソフトは、Windows 8.1 および Windows Server 2012 R2 にインストールされている .NET Framework 3.5 用の月例ロールアップ KB5016268 を公開しました。マイクロソフトでは、本脆弱性を完全に防御するために、本アップデートをインストールすることを強く推奨しています。自動更新を受け取るように設定されているお客様は、これ以上対応する必要はありません。

新規セキュリティアドバイザリの公開

Microsoftが2022年8月10日（日本時間）に公開した新規のセキュリティアドバイザリは次の通りです。

ADV990001 最新のサービススタック更新プログラム
新しいバージョンのサービススタック更新プログラムが入手可能であることをお知らせするために、アドバイザリが更新されました。詳細については、FAQ を参照してください。
ADV200011 GRUB でのセキュリティ機能のバイパスに対処するためのマイクロソフトガイダンス
マイクロソフトは、このアドバイザリで説明されている Secure Boot DBX の脆弱性に対処するために、スタンドアロンセキュリティ更新プログラム 5012170を更新しました。マイクロソフトは、この脆弱性から完全に保護するために、この更新プログラムをインストールすることを強くお勧めします。自動更新を受信するようにシステムが構成されているお客様は、これ以上のアクションを実行する必要はありません。詳細については、このアドバイザリの FAQ セクションと KB5012170 を参照してください。

最新のサービススタック更新プログラム (SSU) は、アドバイザリ ADV990001 にてご確認ください。

Microsoft Edge (Chromium-based) のセキュリティ情報は、公開のスケジュールが月例のリリースとは異なりますので、セキュリティ更新プログラムガイド上で製品にて Microsoft Edge (Chromium-based) を選択してご確認ください。または、Edge のセキュリティリリース情報にてご確認ください。

各脆弱性情報 (CVE) のページには、緩和策、回避策、注意事項やよく寄せられる質問など、追加の情報が掲載されている場合があります。セキュリティ更新プログラムの適用の前に、併せてご確認ください。

最新の情報は、セキュリティ更新プログラムガイドを確認してください。セキュリティ更新プログラムガイドでは、セキュリティの脆弱性および更新プログラムの情報を、CVE、KB 番号、製品、またはリリース日別に並べ替えたりフィルターをかけたりすることができます。各月のセキュリティ更新プログラムを絞り込むには、日付範囲に絞り込む月の第 2 火曜日を指定して検索してください。なお、セキュリティ更新プログラムガイド API を活用して、自社に特化したカスタムレポートを作成することができます。API の活用方法を紹介する 6 つのビデオ (API の情報 (GitHub)、API へのアクセス、HTML ファイルの出力、Excel へのエクスポート、CVE リストの取得、KB リストの取得) を公開していますので、是非ご活用ください。

セキュリティ更新プログラムガイドに更新があった場合の通知を受け取る仕組みの実装が予定されています。詳しくは、ブログ “Coming Soon: A Brand-New Notification System!” をご参照ください。

次回、2022年9月のWindows Update、セキュリティ更新プログラムのリリースは、9月14日(日本時間)の予定となっています。2022年の年間スケジュールについてはこちらを参照ください。

Source:Microsoft