悪用確認済みの脆弱性2件に対処 Microsoftが3月の累積更新プログラムを配信

Microsoftは2023年3月の累積更新プログラムを配信した。修正対象の脆弱性のうち2件で既にサイバー攻撃への悪用が確認された。

[後藤大地，有限会社オングス]

　Microsoftは2023年3月14日、同年3月の累積更新プログラムを配信した。修正対象の脆弱（ぜいじゃく）性のうち2件が既にサイバー攻撃者によって悪用されたことが分かった。

Microsoftは2023年3月の累積更新プログラムを配信した（出典：MicrosoftのWebサイト）

悪用が確認されている脆弱性は？

　セキュリティアップデートの対象となっている製品やサービスは以下の通りだ。

• Azure
• Client Server Run-time Subsystem（CSRSS）
• Internet Control Message Protocol（ICMP）
• Microsoft Bluetooth Driver
• Microsoft Dynamics
• Microsoft Edge（Chromium-based）
• Microsoft Graphics Component
• Microsoft Office Excel
• Microsoft Office Outlook
• Microsoft Office SharePoint
• Microsoft OneDrive
• Microsoft PostScript Printer Driver
• Microsoft Printer Drivers
• Microsoft Windows Codecs Library
• Office for Android
• Remote Access Service Point-to-Point Tunneling Protocol
• Role: DNS Server
• Role: Windows Hyper-V
• Service Fabric
• Visual Studio
• Windows Accounts Control
• Windows Bluetooth Service
• Windows Central Resource Manager
• Windows Cryptographic Services
• Windows Defender
• Windows HTTP Protocol Stack
• Windows HTTP.sys
• Windows Internet Key Exchange（IKE） Protocol
• Windows Kernel
• Windows Partition Management Driver
• Windows Point-to-Point Protocol over Ethernet（PPPoE）
• Windows Remote Procedure Call
• Windows Remote Procedure Call Runtime
• Windows Resilient File System（ReFS）
• Windows Secure Channel
• Windows SmartScreen
• Windows TPM
• Windows Win32K

　今回の累積更新プログラムで修正対象となっている脆弱性のうち、Windows版「Microsoft Outlook」における権限昇格の脆弱性（CVE-2023-23397）と「Windows SmartScreen」におけるセキュリティ機能バイパスの脆弱性（CVE-2023-24880）は既に悪用が確認されているため注意が必要だ。