JPSRT LOGO

2022 年 11 月のセキュリティ更新プログラム (月例)

2022 年 11 月 8 日 (米国時間) 、マイクロソフトは、マイクロソフト製品に影響する脆弱性を修正するために、セキュリティ更新プログラムを公開しました。影響を受ける製品をご利用のお客様は、できるだけ早期に公開されたセキュリティ更新プログラムを適用してください。なお、マイクロソフト製品では、一部の例外を除き、既定で自動更新が有効になっており、自動的にセキュリティ更新プログラムが適用されます。最新の情報は、セキュリティ更新プログラム ガイド を確認してください。

なお、今月の「悪意のあるソフトウェアの削除ツール」では、このツールで削除できる悪意のあるソフトウェアが追加されています。詳細は、対象のマルウェアファミリ を参照してください。

■ セキュリティ更新プログラム、セキュリティ アドバイザリに関する主な注意点

  • 今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2022-41091 Windows Mark Of The Web セキュリティ機能のバイパスの脆弱性、CVE-2022-41073 Windows 印刷スプーラーの特権の昇格の脆弱性、CVE-2022-41125 Windows CNG キー分離サービスの特権の昇格の脆弱性、CVE-2022-41128 Windows スクリプト言語のリモートでコードが実行される脆弱性は、既に脆弱性の悪用が行われていることを確認しています。なお、CVE-2022-41091 Windows Mark Of The Web セキュリティ機能のバイパスの脆弱性はセキュリティ更新プログラムの公開よりも前に、脆弱性の情報が一般に公開されていたことを確認しています。影響を受ける環境をお使いのお客様は、早急に、更新プログラムの適用を行ってください。詳細は、各 CVE情報を参照してください。
  • 9月29日(米国時間) に公開したCVE-2022-41040 Microsoft Exchange Server の特権の昇格の脆弱性 および CVE-2022-41082  Microsoft Exchange Server のリモートでコードが実行される脆弱性 の修正が含まれています。これらの脆弱性は、既に脆弱性の悪用が行われていることを確認していますので、影響を受ける環境をお使いのお客様は早急に更新プログラムの適用を行ってください。Microsoft Exchange の更新プログラムを展開する際のガイダンスは、Released: November 2022 Exchange Server Security Updates も併せてご参照ください。
  • セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してください。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2022 年 11 月セキュリティ更新プログラム リリースノートに掲載されています。
  • 今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は、脆弱性からシステムを保護するために、セキュリティ強化の設定が実施されています。影響を受ける環境をお使いのお客様は、脆弱性のページおよびサポート技術情報をご参照いただき、セキュリティ強化による組織への互換性問題がないかなどを事前にご確認ください。
  • 今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は、脆弱性からシステムを保護するために、追加の作業が必要です。また、今後のセキュリティ更新プログラムで、設定が強制される予定です。影響を受ける環境をお使いのお客様は、各脆弱性のページおよびサポート技術情報をご参照いただき、セキュリティ強化による組織への互換性問題がないかなどを確認した上で、早めに設定の有効化をお願いします。
  • 今月のセキュリティ更新プログラムでは、Windows DCOM におけるセキュリティ強化が実施されています。影響を受ける環境をお使いのお客様は各脆弱性のページおよびサポート技術情報をご参照いただき、組織への影響をご確認ください。

■ 2022 年11 月のセキュリティ更新プログラムを公開した製品、コンポーネント一覧

2022 年 11 月 8 日 (米国時間) にセキュリティ更新プログラムを公開した製品およびコンポーネントの一覧は、2022 年 11 月セキュリティ更新プログラム リリースノートをご確認ください。

■ 2022 年 11 月のセキュリティ更新プログラム一覧

2022 年11 月 8 日 (米国時間) に公開したセキュリティ更新プログラムの一覧は次の通りです。

最新の情報は、セキュリティ更新プログラム ガイド を確認してください。

製品ファミリ最大深刻度最も大きな影響関連するサポート技術情報またはサポートの Web ページ
Windows 11 および v22H2緊急リモートでコードが実行される5019961
v22H2 5019980 
Windows 10 v21H2, v21H1, およびv20H2緊急リモートでコードが実行される5019959
Windows Server 2022 (Server Core installationを含む)緊急リモートでコードが実行される5019081
Windows Server 2019 , 2016 (Server Core installation を含む)緊急リモートでコードが実行されるWindows Server 2019,5019966
Windows Server 2016,5019964
Windows 8.1, Windows Server 2012 R2, Windows Server 2012 (Server Core installation を含む)緊急リモートでコードが実行されるWindows 8.1, Windows Server 2012 R2
Monthly Rollup 5020023
Security Only 5020010
Windows Server 2012
Monthly Rollup 5020009
Security Only 5020003
Microsoft Office重要リモートでコードが実行されるセキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド およびhttps://learn.microsoft.com/officeupdates を参考にしてください。
Microsoft SharePoint重要リモートでコードが実行されるセキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド およびhttps://learn.microsoft.com/officeupdates/sharepoint-updates を参考にしてください。
Microsoft Exchange Server緊急特権の昇格https://learn.microsoft.com/exchange
Released: November 2022 Exchange Server Security Updates
Microsoft .NET重要情報漏えいセキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド および https://learn.microsoft.com/dotnet を参考にしてください。
Microsoft Visual Studio重要リモートでコードが実行されるセキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド および https://learn.microsoft.com/visualstudioを参考にしてください。
Microsoft Dynamics重要情報漏えいセキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド および https://learn.microsoft.com/dynamicsを参考にしてください。
Microsoft Azure-related software緊急リモートでコードが実行されるセキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド  および https://learn.microsoft.com/azure を参考にしてください。

■ 既存の脆弱性情報の更新

2022 年11 月 8 日 (米国時間) に、既存の脆弱性 7 件を更新しました。

CVE変更内容
CVE-2022-35823
CVE-2022-35837
影響を受ける製品の CVSS スコアを1つ以上更新しました。これは情報のみの変更です。
CVE-2022-34730
CVE-2022-34732
CVE-2022-34734
FAQ 情報を追加しました。今回の更新は情報のみの変更です。
CVE-2022-41040
CVE-2022-41082
マイクロソフトは 2022 年 11 月 12 日にこの脆弱性を解決する更新プログラムをリリースしました。影響を受けるバージョンの Microsoft Exchange Server を実行している場合は、保護するために更新プログラムをインストールする必要があります。

■ 新規セキュリティ アドバイザリの公開

今月は、1 件の新規セキュリティアドバイザリを公開しました。

ADV220003 Microsoft Defense in Depth Update

マイクロソフトは、Microsoft Defense in Depth Update としてセキュリティを強化する Microsoft Office 向けの更新プログラムをリリースしました。この更新プログラムは、証明書チェーンの信頼を確保するために、IRM で保護されたドキュメントを強化します。

■ 既存のセキュリティ アドバイザリの更新

今月、更新された既存のセキュリティ アドバイザリはありません。

■ 補足情報

  • 最新のサービス スタック更新プログラム (SSU) は、アドバイザリ ADV990001 にてご確認ください。
  • Microsoft Edge (Chromium-based) のセキュリティ情報は、公開のスケジュールが月例のリリースとは異なりますので、セキュリティ更新プログラム ガイド上で製品にて Microsoft Edge (Chromium-based) を選択してご確認ください。または、Edge のセキュリティ リリース情報にてご確認ください。
  • 各脆弱性情報 (CVE) のページには、緩和策、回避策、注意事項やよく寄せられる質問など、追加の情報が掲載されている場合があります。セキュリティ更新プログラムの適用の前に、併せてご確認ください。
  • 最新の情報は、セキュリティ更新プログラム ガイド を確認してください。セキュリティ更新プログラムガイドでは、セキュリティの脆弱性および更新プログラムの情報を、CVE、KB 番号、製品、またはリリース日別に並べ替えたりフィルターをかけたりすることができます。各月のセキュリティ更新プログラムを絞り込むには、日付範囲に絞り込む月の第 2 火曜日を指定して検索してください。なお、セキュリティ更新プログラム ガイド API を活用して、自社に特化したカスタム レポートを作成することができます。API の活用方法を紹介する 6 つのビデオ (API の情報 (GitHub)API へのアクセスHTML ファイルの出力Excel へのエクスポートCVE リストの取得KB リストの取得) を公開していますので、是非ご活用ください。
  • マイクロソフトでは、セキュリティ更新プログラムの新着情報及び更新情報を、お客様がタイムリーに受け取れるように、通知方法法をリニューアルしました。まだ購読されていない方、これまでのメールでの通知のみ受信している方は、この機会にどちらかの方法で、是非ご登録ください。

次回のセキュリティ更新プログラムのリリースは、2022 年 12 月 13日 (米国時間) を予定しています。詳しくは、年間スケジュールを参照してください。
また、2023 年のセキュリティ更新プログラムのリリーススケジュールも公開しました。詳しくは、セキュリティ更新プログラム リリース スケジュール (2023 年) を参照してください。