マイクロソフトが2月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性3件含む

　独立行政法人 情報処理推進機構（IPA）は2月15日、「Microsoft 製品の脆弱性対策について(2023年2月)」を発表した。一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）も「2023年2月マイクロソフトセキュリティ更新プログラムに関する注意喚起」を発表している。これは、マイクロソフトが2023年2月度のセキュリティ更新プログラムを公開したことを受けたもの。

　対象となるソフトウェアは次の通り。

.NET と Visual Studio
.NET Framework
3D Builder
Azure App Service
Azure Data Box Gateway
Azure DevOps
Azure Machine Learning
HoloLens
インターネット記憶域ネーム サービス
Microsoft Defender for Defender
Microsoft Defender for IoT
Microsoft Dynamics
Microsoft Edge (Chromium ベース)
Microsoft Exchange Server
Microsoft Graphics コンポーネント
Microsoft Office
Microsoft Office Publisher
Microsoft Office OneNote
Microsoft Office SharePoint
Microsoft Office Word
Microsoft PostScript プリンター ドライバー
SQL 用 Microsoft WDAC OLE DB プロバイダー
Microsoft Windows Codecs Library
Power BI
SQL Server
Visual Studio
Windows Active Directory
Windows ALPC
Windows 共通ログ ファイル システム ドライバー
Windows Cryptographic サービス
Windows 分散ファイル システム (DFS)
Windows Fax とスキャン サービス
Windows HTTP.sys
Windows インストーラー
Windows iSCSI
Windows Kerberos
Windows MSHTML プラットフォーム
Windows ODBC ドライバー
Windows Protected EAP (PEAP)
Windows SChannel
Windows Win32K

　これらの脆弱性を悪用された場合、アプリケーションプログラムの異常終了や攻撃者によるパソコンの制御など、様々な被害が発生する可能性がある。

　IPAおよびJPCERT/CCでは、Microsoft Update、Windows Updateなどでセキュリティ更新プログラムを早急に適用するよう呼びかけている。

　また、「Microsoft Publisher のセキュリティ機能のバイパスの脆弱性（CVE-2023-21715）」、「Windows グラフィックス コンポーネントのリモートでコードが実行される脆弱性（CVE-2023-21823）」「Windows 共通ログ ファイル システム ドライバーの特権の昇格の脆弱性（CVE-2023-23376）」の3件について、Microsoft 社は「悪用の事実を確認済み」と公表しており、被害拡大のおそれがあるため、至急、修正プログラムを適用するよう呼びかけている。