2024年3月の「Windows Update」、59件の脆弱性へ新たに対処 ~「USB 80Gbps」にも対応
米Microsoftは3月12日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー)。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。Windows以外の製品も含め、今月のパッチではCVE番号ベースで59件の脆弱性が新たに対処されている。
このうち、深刻度最高の「Critical」と評価されている脆弱性は2件。いずれも仮想化技術「Hyper-V」に関わるものだ。
・CVE-2024-21408:Windows Hyper-V Denial of Service Vulnerability
・CVE-2024-21407:Windows Hyper-V Remote Code Execution Vulnerability
なお、今月はすでに悪用が確認されているセロデイ脆弱性はないとのこと。
■ Windows 10/11およびWindows Server 2016/2019/2022
最大深刻度は「緊急」(リモートでコードが実行される)。「Windows 11 バージョン 23H2/22H2」におけるハイライトは以下の通り。
・「USB 80Gbps」対応をはじめとする2024年2月非セキュリティプレビュー更新プログラムにおける改善
・2024年2月セキュリティパッチの適用が96%で止まってしまう問題を解決
・Windowsの更新プログラムをインストールするコンポーネント「サービス スタック」の品質を改善
・Windows 11 バージョン 23H2:KB5035853
・Windows 11 バージョン 22H2:KB5035853
・Windows 11 バージョン 21H2:KB5035854
・Windows 10 バージョン 22H2:KB5035845
・Windows Server 2022:KB5035857
・Windows Server 2019:KB5035849
・Windows Server 2016:KB5035855
なお、「Windows 11 バージョン 23H2」と「Windows 11 バージョン 22H2」のパッチは共通。「イネーブルメント パッケージ」(eKB:有効化パッケージ)と呼ばれる小さなパッチで機能の有効・無効を切り替えているだけなので、アップグレードは比較的短時間で済む。
また、「Windows 10 バージョン 21H2」Enterprise/Educationエディションのサービスは6月11日に終了する。サービス終了後はセキュリティパッチなどの配信が行われなくなるため、利用の継続はお勧めできない。後継バージョンへのアップグレードを急ぎたい。
■ Microsoft Office関連のソフトウェア
「Microsoft Office」関連のセキュリティ修正に関しては、以下のドキュメントを参照のこと。
・Microsoft Office の 2024 年 3 月の更新プログラム - Microsoft サポート
■ Microsoft Edge
「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間3月8日にリリースされたv122.0.2365.80。
デスクトップ版だけでなく、Android版でもセキュリティアップデートが行われているので注意したい。
■ Microsoft Visual Studio
「Microsoft Visual Studio」では、2件の脆弱性が修正された。
・CVE-2024-21392(重要:サービス拒否)
・CVE-2024-26190(重要:サービス拒否)
以下のバージョンでアップデートが提供中だ。
・Microsoft Visual Studio 2022 version 17.9
・Microsoft Visual Studio 2022 version 17.8
・Microsoft Visual Studio 2022 version 17.6
・Microsoft Visual Studio 2022 version 17.4
■ Microsoft Exchange
「Microsoft Exchange」関連では、1件の脆弱性が修正された。
・CVE-2024-26198(重要:リモートでコードが実行される)
■ Microsoft SharePoint
「Microsoft SharePoint」関連では、1件の脆弱性が修正された。
・CVE-2024-21426(重要:リモートでコードが実行される)
■ Microsoft Dynamics 365
「Microsoft Dynamics 365」でも、1件の脆弱性が修正されている。
・CVE-2024-21419(重要:なりすまし)
■ Microsoft .NET/.NET Framework
「.NET」におけるセキュリティ修正は、公式ブログを参照のこと。サービス拒否(DoS)の問題が2件対処されている。
Windowsのみに対応する古い「Microsoft .NET Framework」には、これらの問題は影響しないようだ。
■ そのほかの製品
そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。
・Windows Defender Antimalware Platform:1件(重要)
・Visual Studio Code:1件(重要)
・System Center Operations Manager:2件(重要)
・SQL Server backend for Django:1件(重要)
・Software for Open Networking in the Cloud:1件(重要)
・Skype for Consumer:1件(重要)
・Operations Management Suite Agent for Linux:1件(重要)
・Open Management Infrastructure:2件(重要)
・Microsoft Teams for Android:1件(重要)
・Microsoft Outlook for Android:1件(重要)
・Microsoft Authenticator:1件(重要)
・Log Analytics Agent:1件(重要)
・Intune Company Portal for Android:1件(重要)
・Container Monitoring Solution:1件(重要)
・Azure Sentinel:1件(重要)
・Azure Security Center:1件(重要)
・Azure SDK:1件(重要)
・Azure Kubernetes Service Confidential Containers:1件(重要)
・Azure Data Studio:1件(重要)
・Azure Automation Update Management:1件(重要)
・Azure Automation:1件(重要)