Microsoftが4月度セキュリティ更新プログラムを公開／Office 2013のサポートが4月11日で終了：週末の「気になるニュース」一気読み！（1/3 ページ）

[山本竜也，ITmedia]

　うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する本連載。世界中には、結構面白い話題があるものです。この記事で一気にチェックしましょう！

Microsoftが4月度セキュリティ更新プログラムを公開

　Microsoftは4月11日（現地時間）、サポートされている全てのWindows向けに「Bリリース」と呼ばれる、月例セキュリティ更新プログラムの配信を開始した。

Windows向けに4月のセキュリティ更新プログラムが配信された

　Windows 11 22H2向けは「KB5025239」、Windows 11 21H2向けは「KB5025224」、Windows 10 22H2／21H2／20H2は「KB5025221」、Windows 10 1809は「KB5025229」となる。

　本更新プログラムでは、CVE番号ベースで97件の脆弱（ぜいじゃく）性に対応した。そのうち、以下の7件は深刻度が「Critical（緊急）」となっている。

• CVE-2023-21554：Microsoft Message Queuing のリモートでコードが実行される脆弱性
• CVE-2023-28219：レイヤー 2 トンネリング プロトコルのリモートでコードが実行される脆弱性
• CVE-2023-28220：レイヤー 2 トンネリング プロトコルのリモートでコードが実行される脆弱性
• CVE-2023-28231：DHCP Server Service のリモートでコードが実行される脆弱性
• CVE-2023-28232：Windows Point-to-Point トンネリング プロトコルのリモートでコードが実行される脆弱性
• CVE-2023-28250：Windows Pragmatic General Multicast（PGM）のリモートでコードが実行される脆弱性
• CVE-2023-28291：Raw Image Extension Remote Code Execution Vulnerability

　また、下記の1件については、深刻度はImportant（重要）ながら、悪用の事実が確認されており、至急の対応が必要だ。

• CVE-2023-28252：Windows 共通ログ ファイル システム ドライバーの特権の昇格の脆弱性

「TPM 2.0」の脆弱性でAMD製CPUにも影響

　AMDは4月11日（現地時間）、TMP 2.0の参照ライブラリー仕様で見つかっていた脆弱性が自社システムにも影響を与えると発表した。対象となるのは、第2世代のAMD Ryzen Threadripperだ。

AMDが、自社のプロセッサがTMP 2.0で見つかった脆弱性の影響を受けると明らかにした

　この脆弱性は、3月にセキュリティ関連企業「Quarkslab」の研究者らによって報告されていたものだ。この脆弱（ぜいじゃく）性を利用すると、攻撃者は機密データの読み取りや、TPMで保護されている暗号化キーなどの上書きが可能になる。

• →TPM 2.0に脆弱性　数十億台に影響がある可能性も

　AMDによると、既存の保護システムにより、コードの実行やデータ流出は防げているとのことだが、領域外アクセスによりエラーが発生し、サービス拒否が発生する可能性があるという。

　既に対策済みのファームウェアをOEM向けにリリースしており、UEFI／BIOSアップデートについてはOEMに問い合わせて欲しいとしている。