Microsoftが2月の累積更新プログラムを配信 「緊急」含む78件の脆弱性に対処

Microsoftは2023年2月の累積更新プログラムを配信した。深刻度「緊急」（Critical）の脆弱性も幾つか含まれている。該当製品を使用している場合は、アップデートの適用が必要だ。

[後藤大地，有限会社オングス]

　Microsoftは2023年2月14日（現地時間）、同年2月の累積更新プログラムを配信した。複数の製品がセキュリティアップデートの対象となっている。

　修正対象の脆弱（ぜいじゃく）性のうち幾つかは深刻度「緊急」（Critical）に分類され注意が必要だ。該当製品を使用している場合は、アップデートの適用が必要だ。

Microsoftは2023年2月の累積更新プログラムを配信した（出典：MicrosoftのWebサイト）

セキュリティアップデート対象の製品は？

　セキュリティアップデートの対象となっている製品やサービスは以下の通りだ。

• .NET and Visual Studio
• .NET Framework
• 3D Builder
• Azure App Service
• Azure Data Box Gateway
• Azure DevOps
• Azure Machine Learning
• HoloLens
• Internet Storage Name Service
• Microsoft Defender for Endpoint
• Microsoft Defender for IoT
• Microsoft Dynamics
• Microsoft Edge（Chromium-based）
• Microsoft Exchange Server
• Microsoft Graphics Component
• Microsoft Office
• Microsoft Office OneNote
• Microsoft Office Publisher
• Microsoft Office SharePoint
• Microsoft Office Word
• Microsoft PostScript Printer Driver
• Microsoft WDAC OLE DB provider for SQL
• Microsoft Windows Codecs Library
• Power BI
• SQL Server
• Visual Studio
• Windows Active Directory
• Windows ALPC
• Windows Common Log File System Driver
• Windows Cryptographic Services
• Windows Distributed File System（DFS）
• Windows Fax and Scan Service
• Windows HTTP.sys
• Windows Installer
• Windows iSCSI
• Windows Kerberos
• Windows MSHTML Platform
• Windows ODBC Driver
• Windows Protected EAP（PEAP）
• Windows SChannel
• Windows Win32K

　今回のセキュリティアップデートでは、合計78件の脆弱性を修正した。そのうち7件が深刻度「緊急」（Critical）に分類されている。「緊急」の脆弱性の詳細は以下の通りだ。

• CVE-2023-23381：Visual Studioにおけるリモートコード実行の脆弱性
• CVE-2023-21716：Microsoft Wordにおけるリモートコード実行の脆弱性
• CVE-2023-21692：Microsoft Protected Extensible Authentication Protocol（PEAP）におけるリモートコード実行の脆弱性
• CVE-2023-21690：Microsoft Protected Extensible Authentication Protocol（PEAP）におけるリモートコード実行の脆弱性
• CVE-2023-21689：Microsoft Protected Extensible Authentication Protocol（PEAP）におけるリモートコード実行の脆弱性
• CVE-2023-21815：Visual Studioにおけるリモートコード実行の脆弱性
• CVE-2023-21803：Windows iSCSI検出サービスにおけるリモートコード実行の脆弱性

　累積更新プログラムの適用はしばしば別の問題を引き起こすことがあり、ユーザーや管理者によってはこの適用を延期したり、ためらったりするケースがある。しかし公開されたセキュリティアップデート情報は解析されてサイバー攻撃に悪用されやすくなることから、アップデート情報が公開されたら直ちに適用することが望ましい。