JPSRT LOGO

2022 年 10 月 のセキュリティ更新プログラム (月例)

2022 年 10 月 11 日 (米国時間) 、マイクロソフトは、マイクロソフト製品に影響する脆弱性を修正するために、セキュリティ更新プログラムを公開しました。影響を受ける製品をご利用のお客様は、できるだけ早期に公開されたセキュリティ更新プログラムを適用してください。なお、マイクロソフト製品では、一部の例外を除き、既定で自動更新が有効になっており、自動的にセキュリティ更新プログラムが適用されます。最新の情報は、セキュリティ更新プログラム ガイド を確認してください。

なお、今月の「悪意のあるソフトウェアの削除ツール」では、新たに対応を追加したファミリはありません。

■ セキュリティ更新プログラム、セキュリティ アドバイザリに関する主な注意点

  • 今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2022-41033 Windows COM + イベント システム サービスの特権の昇格の脆弱性は、既に、脆弱性の悪用が行われていることを確認しています。なお、この脆弱性の詳細の一般への公開は、セキュリティ更新プログラムの公開時点では確認されていません。お客様においては、早急に、更新プログラムの適用を行ってください。詳細は、CVE-2022-41033 を参照してください。
  • 今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2022-41043 (Microsoft Office) は、セキュリティ更新プログラムの公開よりも前に、脆弱性の情報が一般に公開されていたことを確認しています。なお、この脆弱性の悪用は、セキュリティ更新プログラムの公開時点では確認されていません。
  • 9 月 30 日 (米国時間) に公開したCVE-2022-41040 Microsoft Exchange Server の特権の昇格の脆弱性 および CVE-2022-41082 Microsoft Exchange Server のリモートでコードが実行される脆弱性の修正は、今月のセキュリティ更新プログラムには含まれていません。これらの脆弱性に対する更新プログラムは、準備が整い次第、公開をする予定です。影響を受ける環境をお持ちのお客様は、緩和策を実施してください。緩和策やそのほかの詳細に関してはMicrosoft Exchange サーバーのゼロデイ脆弱性報告に関するお客様向けガイダンスを参照してください。
  • 今月のセキュリティ更新プログラムを適用することで、Active Directory 環境のドメイン コントローラはPAC に要求元が含まれていない場合は認証を拒否する動作になります。これは、2021年 11 月に公開したActive Directory の脆弱性 CVE-2021-42287 への対処のため実行される措置です。詳細については、KB5008380CVE-2021-42287 で追加されたイベント メッセージ ID 35 , 37 と脆弱性対応の流れについて および [IT 管理者むけ] Active Directoryのセキュリティ強化への対応をご確認ください をご参照ください。
  • セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してください。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2022 10 セキュリティ更新プログラム リリースノートに掲載されています。

■ 2022 年10 月のセキュリティ更新プログラムを公開した製品、コンポーネント一覧

2022 年 10 月 11 日 (米国時間) にセキュリティ更新プログラムを公開した製品およびコンポーネントの一覧は、2022 10 セキュリティ更新プログラム リリースノートをご確認ください。

■ 2022 年 10 月のセキュリティ更新プログラム一覧

2022 年10 月11 日 (米国時間) に公開したセキュリティ更新プログラムの一覧は次の通りです。

最新の情報は、セキュリティ更新プログラム ガイド を確認してください。

製品ファミリ最大深刻度最も大きな影響関連するサポート技術情報またはサポートの Web ページ
Windows 11 および v22H2緊急リモートでコードが実行される5018418
v22H2 5018427
Windows 10 v21H2, v21H1, およびv20H2緊急リモートでコードが実行される5018410
Windows Server 2022 (Server Core installationを含む)緊急リモートでコードが実行される5018421
Windows Server 2019 , 2016 (Server Core installation を含む)緊急リモートでコードが実行されるWindows Server 2019 , 5018419
Windows Server 2016 , 5018411 
Windows 8.1, Windows Server 2012 R2, Windows Server 2012 (Server Core installation を含む)緊急リモートでコードが実行されるWindows 8.1, Windows Server 2012 R2
Monthly Rollup 5018474
Security Only 5018476

Windows Server 2012
Monthly Rollup 5018457
Security Only 5018478
Microsoft Office緊急リモートでコードが実行されるセキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド およびhttps://docs.microsoft.com/officeupdates を参考にしてください。
Microsoft SharePoint緊急リモートでコードが実行されるSharePoint 更新プログラム – Office release notes
Microsoft .NET重要特権の昇格セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド および https://docs.microsoft.com/dotnet を参考にしてください。
Microsoft Visual Studio重要リモートでコードが実行されるセキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド および https://docs.microsoft.com/visualstudio を参考にしてください。
Microsoft Azure-related software緊急特権の昇格セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド および https://docs.microsoft.com/ja-jp/azure を参考にしてください。
Microsoft Malware Protection Engine重要特権の昇格セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド を参考にしてください。

■ 既存の脆弱性情報の更新

2022 年10 月11 日 (米国時間) に、既存の脆弱性 5 件を更新しました。

CVEと概要を記載

CVE変更内容
CVE-2022-21979
CVE-2022-21980
CVE-2022-24516
CVE-2022-24477
CVE-2022-30134
拡張保護機能をオンにした場合に監査機能が正しく機能しないことに関連する既知の問題に対処するため、マイクロソフトはMicrosoft Exchangeのセキュリティ更新プログラムを更新しました。詳しくは、Exchange Team Blogをご覧ください。

■ 既存のセキュリティ アドバイザリの更新

2022 年10 月11 日 ( (米国時間) に、既存のアドバイザリ 1 件を更新しました。

ADV990001 最新のサービス スタック更新プログラム

新しいバージョンのサービス スタック更新プログラムが入手可能であることをお知らせするために、アドバイザリが更新されました。詳細については、FAQ を参照してください。

■ 補足情報

  • 最新のサービス スタック更新プログラム (SSU) は、アドバイザリ ADV990001 にてご確認ください。
  • Microsoft Edge (Chromium-based) のセキュリティ情報は、公開のスケジュールが月例のリリースとは異なりますので、セキュリティ更新プログラム ガイド上で製品にて Microsoft Edge (Chromium-based) を選択してご確認ください。または、Edge のセキュリティ リリース情報にてご確認ください。
  • 各脆弱性情報 (CVE) のページには、緩和策、回避策、注意事項やよく寄せられる質問など、追加の情報が掲載されている場合があります。セキュリティ更新プログラムの適用の前に、併せてご確認ください。
  • 最新の情報は、セキュリティ更新プログラム ガイド を確認してください。セキュリティ更新プログラムガイドでは、セキュリティの脆弱性および更新プログラムの情報を、CVE、KB 番号、製品、またはリリース日別に並べ替えたりフィルターをかけたりすることができます。各月のセキュリティ更新プログラムを絞り込むには、日付範囲に絞り込む月の第 2 火曜日を指定して検索してください。なお、セキュリティ更新プログラム ガイド API を活用して、自社に特化したカスタム レポートを作成することができます。API の活用方法を紹介する 6 つのビデオ (API の情報 (GitHub)API へのアクセスHTML ファイルの出力Excel へのエクスポートCVE リストの取得KB リストの取得) を公開していますので、是非ご活用ください。
  • セキュリティ更新プログラム ガイド に更新があった場合の通知を受け取る仕組みの実装が予定されています。詳しくは、 ブログ “Coming Soon: A Brand-New Notification System!” をご参照ください。

次回のセキュリティ更新プログラムのリリースは、2022 年 11 月 8 日 (米国時間) を予定しています。詳しくは、年間スケジュールを参照してください。