米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は5月14日(米国時間)、「Microsoft Releases May 2024 Security Updates|CISA」において、Microsoftが2024年5月のセキュリティ更新プログラムをリリースしたと報じた。Microsoftはこのセキュリティ更新プログラムにおいて、Windowsなど複数のMicrosoft製品に対する合計60件の脆弱性を修正している。

脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

  • Security Update Guide - Microsoft

    Security Update Guide - Microsoft

脆弱性が存在する製品

脆弱性が存在する製品は次のとおり。

  • .NETとVisual Studio
  • Azure Migrate
  • Microsoft Bing
  • Microsoft Brokering File System
  • Microsoft Dynamics 365 Customer Insights
  • Microsoft Edge (Chromiumベース)
  • Microsoft Intune
  • Microsoft Office Excel
  • Microsoft Office SharePoint
  • Microsoft Windows SCSIクラスシステムファイル
  • Microsoft Windows 検索コンポーネント
  • Power BI
  • SQL 用 Microsoft WDAC OLE DB プロバイダー
  • Visual Studio
  • Windows Cloud Files Mini Filter Driver
  • Windows CNG キー分離サービス
  • Windows Cryptographicサービス
  • Windows DHCPサーバー
  • Windows DWM Coreライブラリー
  • Windows Hyper-V
  • Windows Mark of the Web(MOTW)
  • Windows MSHTMLプラットフォーム
  • Windows NTFS
  • Windows Remote Access Connection Manager
  • Windows Win32K - ICOMP
  • Windows Win32K: GRFX
  • Windows カーネル
  • Windows タスクスケジューラ
  • Windows モバイルブロードバンド
  • Windows ルーティングとリモートアクセスサービス(RRAS)
  • Windows 共通ログ ファイルシステムドライバー
  • Windows 展開サービス

対策

修正された脆弱性のうち、Windows MSHTMLプラットフォームの「CVE-2024-30040」および、Windows DWM Coreライブラリーの「CVE-2024-30051」はすでに悪用が確認されており、速やかなアップデートが望まれている。

セキュリティ更新プログラムの対象となる製品は多岐にわたる上、脆弱性のいくつかは深刻度が重要(Important)と評価されており注意が必要。CISAは、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。