マイクロソフトは、2022年1月12日(日本時間)、2022年1月のセキュリティ更新プログラムを公開した。該当するソフトウェアは以下の通り。

  • .NET Framework
  • Microsoft Dynamics
  • Microsoft Edge(Chromiumベース)
  • Microsoft Exchange Server
  • Microsoft Graphicsコンポーネント
  • Microsoft Office
  • Microsoft Office Excel
  • Microsoft Office SharePoint
  • Microsoft Office Word
  • Microsoft Teams
  • Microsoft Windows Codecs Library
  • オープンソースソフトウェア
  • ロール:Windows Hyper-V
  • タブレット用のWindowsユーザーインターフェイス
  • Windowsカウント制御
  • Windows Active Directory
  • Windows AppContracts API Server
  • Windowsアプリケーションモデル
  • Windows BackupKeyリモートプロトコル
  • Windows Bind Filterドライバー
  • Windowsの証明書
  • Windowsクリーンアップマネージャー
  • Windowsクリップボードユーザーサービス
  • Windowsクラスターポートドライバー
  • Windows共通ログファイルシステムドライバー
  • Windows Connected Devices Platform Service
  • Windows Cryptographicサービス
  • Windows Defender
  • Windowsデバイス用ヒューマンインターフェイス
  • Windows Diagnostic Hub
  • Windows DirectX
  • Microsoft DWM Coreライブラリ
  • Windowsイベントトレーシング
  • Windows位置情報サービス
  • Windows HTTPプロトコルスタック
  • Windows IKE拡張
  • Windowsインストーラー
  • Windows Kerberos
  • Windowsカーネル
  • Windows Libarchive
  • Windows Local Security Authority
  • Windows Local Security Authority Subsystem Service
  • Windowsモダン実行サーバー
  • Windowsプッシュ通知
  • Windows RDP
  • Windows Remote Access Connection Manager
  • Windowsリモートデスクトップ
  • Windowsリモートプロシージャコールランタイム
  • Windows Resilient File System(ReFS)
  • Windowsセキュアブート
  • Windowsセキュリティセンター
  • Windows StateRepository API
  • Windows Storage
  • Windows Storage Spaces Controller
  • Windows System Launcher
  • Windowsタスクフローデータエンジン
  • Windowsタイルデータリポジトリ
  • Windows UEFI
  • Windows UI Immersive Server
  • Windows User Profile Service
  • Windowsユーザーモードドライバーフレームワーク
  • Windows仮想マシン用IDEドライブ
  • Windows Win32K
  • Windowsワークステーションサービスリモートプロトコル
  • Microsoft、2022年1月の月例更新 - オープンソース製品でみつかったセキュリティ問題も修正

    図 2022年1月のセキュリティ更新プログラム(月例パッチ)が公開された

マイクロソフトでは、セキュリティ更新プログラム、セキュリティアドバイザリに関する注意点として、以下をあげる。

  • 2022年1月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2022-21919(Windows)、CVE-2022-21874(Windows)、CVE-2022-21839(Windows)、CVE-2022-21836(Windows)、CVE-2021-36976(Librachive)、CVE-2021-22947(Curl)は、セキュリティ更新プログラムの公開よりも前に、脆弱性の情報が一般に公開されていたことを確認している。なお、これらの脆弱性の悪用は、セキュリティ更新プログラムの公開時点では確認されていない。
  • CVE-2021-36976(Librachive)、CVE-2021-22947(Curl)は、オープンソースソフトウェアの脆弱性である。Microsoft Windowsがこれらのオープンソースソフトウェアを利用しているため、マイクロソフトのセキュリティ更新プログラムサイトでも情報を掲載している。なお、これらの脆弱性の修正は、Windows向けセキュリティ更新プログラムに含まれている。
  • 2022年1月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2022-21907(HTTPプロトコルスタックのリモートでコードが実行される脆弱性)およびCVE-2022-21849(Windows IKE Extensionでコードが実行される脆弱性)は、CVSSスコアBaseスコアが9.8と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性である。これらの脆弱性が存在する製品、および悪用が可能となる条件については、各CVEのページの「よく寄せられる質問」を参照してほしい。セキュリティ更新プログラムが公開されるよりも前に、脆弱性の情報の一般への公開、脆弱性の悪用はないが、脆弱性の特性を鑑み、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨している。
  • 2022年1月のセキュリティ更新プログラムを展開する際のガイダンスは、2022年1月のセキュリティ更新プログラムの展開に関するサポート技術情報も併せて参照してほしい。
  • Microsoft Exchangeの更新プログラムを展開する際のガイダンスは、Microsoft ExchangeチームブログReleased: January 2022 Exchange Server Security Updates - Microsoft Tech Communityも併せて参照してほしい。
  • セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してほしい。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2022年1月セキュリティ更新プログラムリリースノートに掲載されている。

新たに確認した脆弱性に対応した新しいセキュリティ更新プログラムは、以下の通り。

Windows 11

緊急(リモートでコードが実行される)

  • Windows 11:KB5009566

Windows 11の更新プログラムであるKB5009566(累積更新プログラム)の構成内容であるが、

  • 日本語入力メソッドエディター(IME)に影響する既知の問題を更新する。入力したテキストが正しく表示されない場合や、マルチバイト文字セット(MBCS)を使用するアプリでテキストカーソルが予期せず移動する可能性がある
  • Windowsオペレーティングシステムのセキュリティ更新

となっている。このセキュリティ更新プログラムでは、以下の品質の改善・修正が行われた。

  • 日本語入力方式エディター(IME)に影響する既知の問題を修正する。日本語IMEを使用してテキストを入力すると、テキストが正しく表示されない場合や、マルチバイト文字セット(MBCS)を使用するアプリでテキストカーソルが予期せず移動する可能性がある。この問題は、Microsoft日本語IMEとサードパーティの日本語IMEに影響する。

Windows 10 v21H2、v21H1、v20H2、v1909

緊急(リモートでコードが実行される)

  • Windows 10 v21H2、v21H1、v20H2:KB5009543
  • Windows 10 v1909:KB5009545

Windows Server 2022

緊急(リモートでコードが実行される)

  • Windows Server 2022:KB5009555

Windows Server 2019、Windows Server 2016、and Server Core installations(2019、2016、v20H2)

緊急(リモートでコードが実行される)

  • Windows Server 2019:KB5009557
  • Windows Server 2016:KB5009546

Windows 8.1、Windows Server 2012 R2、Windows Server 2012

緊急(リモートでコードが実行される)

  • Windows 8.1、Windows Server 2012 R2マンスリーロールアップ:KB5009624
  • Windows 8.1、Windows Server 2012 R2セキュリティのみ:KB5009595
  • Windows Server 2012マンスリーロールアップ:KB5009586
  • Windows Server 2012セキュリティのみ:KB5009619

Microsoft Office

緊急(リモートでコードが実行される)

セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドを参考にしてほしい。

Microsoft SharePoint

緊急(リモートでコードが実行される)

セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドを参考にしてほしい。

Microsoft Exchange Server

緊急(リモートでコードが実行される)

  • Microsoft Exchange Server:KB5008631

Microsoft .NET

重要(サービス拒否)

セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドを参考にしてほしい。

Microsoft Dynamics 365

重要(なりすまし)

セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドを参考にしてほしい。

Remote Desktop Client for Windows Desktop

重要(リモートでコードが実行される)

セキュリティ更新プログラムの詳細については、セキュリティ更新プログラムガイドを参考にしてほしい。