Microsoftから2023年8月のセキュリティ更新、重大な脆弱性に対処

米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は8月8日(米国時間)、「Microsoft Releases August 2023 Security Updates｜CISA」において、Windowsなど複数のMicrosoft製品に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、遠隔から攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされている。

脆弱性に関する情報は次のページにまとまっている。

Security Update Guide - Microsoft

脆弱性が存在するとされるプロダクトは次のとおり。

.NET Core
.NET Framework
ASP.NET
Azure Arc
Azure DevOps
Azure HDInsights
Dynamics Business Central Control
Memory Integrity System Readiness Scan Tool
Microsoft Dynamics
Microsoft Edge (Chromium ベース)
Microsoft Exchange Server
Microsoft Office Excel
Microsoft Office Outlook
Microsoft Office SharePoint
Microsoft Office Visio
Microsoft Office
Microsoft Teams
Microsoft Windows Codecs Library
Reliability Analysis Metrics Calculation Engine
SQL Server
SQL 用 Microsoft WDAC OLE DB プロバイダー
Visual Studio
Windows Bluetooth A2DP ドライバー
Windows Cloud Files Mini Filter Driver
Windows Cryptographic サービス
Windows Defender
Windows Fax とスキャンサービス
Windows HTML プラットフォーム
Windows LDAP - ライトウェイトディレクトリアクセスプロトコル
Windows Projected File System
Windows カーネル
Windows グループポリシー
Windows システム評価ツール
Windows スマートカード
Windows メッセージキュー
Windows モバイルデバイス管理
Windows ワイヤレスワイドエリアネットワークサービス
Windows 共通ログファイルシステムドライバー
WindowsReliability Analysis Metrics Calculation Engine
タブレット用の Windows ユーザーインタフェース
ロール: Windows Hyper-V

セキュリティアップデートの対象となる製品は多岐にわたる上、脆弱性のいくつかは深刻度が緊急（Critical）に分類されており注意が必要。CISAは、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。

特に、Microsoft .NET CoreおよびVisual Studioに存在するとされるサービス運用妨害(DoS: Denial of Service)の脆弱性(CVE-2023-38180)に注意が必要。この脆弱性はすでに悪用が確認されており、今後被害が拡大する可能性が指摘されている。CISAはこの脆弱性をカタログに追加して警告しているほか、情報処理推進機構(IPA: Information-technology Promotion Agency, Japan)も悪用が確認済みとして注意を促している(参考「Microsoft 製品の脆弱性対策について(2023年8月) | 情報セキュリティ | IPA 独立行政法人情報処理推進機構」)。

MicrosoftはすでにWindows Updateなどを通じて修正プログラムの配信を行っている。該当する製品を使用している場合は、内容を確認するとともに迅速にアップデートを適用することが望まれる。