マイクロソフトが10月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性3件の修正プログラム適用を呼びかけ

独立行政法人情報処理推進機構（IPA）は10月11日、「Microsoft 製品の脆弱性対策について(2023年10月)」を発表した。

脆弱性と脅威セキュリティホール・脆弱性

2023年10月16日（月） 08時00分

　独立行政法人情報処理推進機構（IPA）は10月11日、「Microsoft 製品の脆弱性対策について(2023年10月)」を発表した。一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）も「2023年10月マイクロソフトセキュリティ更新プログラムに関する注意喚起」を発表している。これは、マイクロソフトが2023年10月度のセキュリティ更新プログラムを公開したことを受けたもの。

　対象となるソフトウェアは次の通り。

Windows RDP
Windows メッセージキュー
Azure SDK
Azure SDK
Microsoft Dynamics
SQL Server
Azure リアルタイムオペレーティングシステム
Azure
SQL Server
Microsoft Dynamics
Windows メッセージキュー
Microsoft Dynamics
Windows IIS
Microsoft QUIC
Windows HTML プラットフォーム
Windows TCP/IP
Windows HTML プラットフォーム
Azure DevOps
Microsoft ワードパッド
Microsoft Windows 検索コンポーネント
Microsoft Office
Microsoft Common Data Model SDK
Windows 展開サービス
Microsoft Office
Microsoft Office
Windows メッセージキュー
Windows メッセージキュー
Windows メッセージキュー
Windows メッセージキュー
Windows メッセージキュー
Windows メッセージキュー
Windows カーネル
SQL 用 Microsoft WDAC OLE DB プロバイダー
Windows メッセージキュー
Windows メッセージキュー
Windows メッセージキュー
Windows メッセージキュー
Windows メッセージキュー
Windows Mark of the Web (MOTW)
Windows Active Template Library
Windows メッセージキュー
Windows メッセージキュー
Windows メッセージキュー
Windows メッセージキュー
Windows メッセージキュー
Microsoft Graphics コンポーネント
Windows リモートプロシージャコール
SQL Server
Windows TCP/IP
Windows TCP/IP
Windows 名前付きパイプファイルシステム
Windows メッセージキュー
Windows メッセージキュー
Windows カーネル
Windows Resilient File System (ReFS)
Windows Microsoft DirectMusic
Windows DHCP サーバー
Windows セットアップファイルクリーンアップ
Windows 展開サービス
Windows 展開サービス
Windows AllJoyn API
Microsoft Windows Media Foundation
Windows ランタイム C++ テンプレートライブラリ
Windows カーネル
Windows 共通ログファイルシステムドライバー
Windows TPM
Windows トラステッドプラットフォームモジュール
Windows Mixed Reality Developer Tools
Windows エラー報告
Active Directory Domain Services
Windows Container Manager サービス
Windows Power Manager サービス
Windows NT OS カーネル
Windows IKE 拡張
SQL Server
Windows 名前付きパイプファイルシステム
SQL Server
Windows Win32K
Windows Win32K
Azure
Windows Win32K
Windows Win32K
Microsoft Exchange Server
Skype for Business
SQL Server
Skype for Business
Skype for Business
Windows RDP
Windows Client/Server Runtime Subsystem
Microsoft Graphics コンポーネント
Windows レイヤー 2 トンネリングプロトコル
Microsoft QUIC
Skype for Business
Windows レイヤー 2 トンネリングプロトコル
Client Server Run-time Subsystem (CSRSS)
Windows レイヤー 2 トンネリングプロトコル
Windows レイヤー 2 トンネリングプロトコル
Windows レイヤー 2 トンネリングプロトコル
Windows レイヤー 2 トンネリングプロトコル
Windows レイヤー 2 トンネリングプロトコル
Windows Win32K
Windows レイヤー 2 トンネリングプロトコル
Windows レイヤー 2 トンネリングプロトコル

　これらの脆弱性を悪用された場合、アプリケーションプログラムの異常終了や攻撃者によるパソコンの制御など、様々な被害が発生する可能性がある。

　IPAおよびJPCERT/CCでは、Microsoft Update、Windows Updateなどでセキュリティ更新プログラムを早急に適用するよう呼びかけている。

　また「Skype for Business の特権の昇格の脆弱性（CVE-2023-41763）」「Microsoft ワードパッドの情報漏えいの脆弱性（CVE-2023-36563）」「HTTP/2プロトコルのサービス運用妨害（DoS）の脆弱性（CVE-2023-44487）」について、Microsoft 社は「悪用の事実を確認済み」と公表しており、被害拡大のおそれがあるため、至急、修正プログラムを適用するよう呼びかけている。