独立行政法人 情報処理推進機構(IPA)は10月11日、「Microsoft 製品の脆弱性対策について(2023年10月)」を発表した。一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)も「2023年10月マイクロソフトセキュリティ更新プログラムに関する注意喚起」を発表している。これは、マイクロソフトが2023年10月度のセキュリティ更新プログラムを公開したことを受けたもの。
対象となるソフトウェアは次の通り。
Windows RDP
Windows メッセージ キュー
Azure SDK
Azure SDK
Microsoft Dynamics
SQL Server
Azure リアルタイム オペレーティング システム
Azure
SQL Server
Microsoft Dynamics
Windows メッセージ キュー
Microsoft Dynamics
Windows IIS
Microsoft QUIC
Windows HTML プラットフォーム
Windows TCP/IP
Windows HTML プラットフォーム
Azure DevOps
Microsoft ワードパッド
Microsoft Windows 検索コンポーネント
Microsoft Office
Microsoft Common Data Model SDK
Windows 展開サービス
Microsoft Office
Microsoft Office
Windows メッセージ キュー
Windows メッセージ キュー
Windows メッセージ キュー
Windows メッセージ キュー
Windows メッセージ キュー
Windows メッセージ キュー
Windows カーネル
SQL 用 Microsoft WDAC OLE DB プロバイダー
Windows メッセージ キュー
Windows メッセージ キュー
Windows メッセージ キュー
Windows メッセージ キュー
Windows メッセージ キュー
Windows Mark of the Web (MOTW)
Windows Active Template Library
Windows メッセージ キュー
Windows メッセージ キュー
Windows メッセージ キュー
Windows メッセージ キュー
Windows メッセージ キュー
Microsoft Graphics コンポーネント
Windows リモート プロシージャ コール
SQL Server
Windows TCP/IP
Windows TCP/IP
Windows 名前付きパイプ ファイル システム
Windows メッセージ キュー
Windows メッセージ キュー
Windows カーネル
Windows Resilient File System (ReFS)
Windows Microsoft DirectMusic
Windows DHCP サーバー
Windows セットアップ ファイル クリーンアップ
Windows 展開サービス
Windows 展開サービス
Windows AllJoyn API
Microsoft Windows Media Foundation
Windows ランタイム C++ テンプレート ライブラリ
Windows カーネル
Windows 共通ログ ファイル システム ドライバー
Windows TPM
Windows トラステッド プラットフォーム モジュール
Windows Mixed Reality Developer Tools
Windows エラー報告
Active Directory Domain Services
Windows Container Manager サービス
Windows Power Manager サービス
Windows NT OS カーネル
Windows IKE 拡張
SQL Server
Windows 名前付きパイプ ファイル システム
SQL Server
Windows Win32K
Windows Win32K
Azure
Windows Win32K
Windows Win32K
Microsoft Exchange Server
Skype for Business
SQL Server
Skype for Business
Skype for Business
Windows RDP
Windows Client/Server Runtime Subsystem
Microsoft Graphics コンポーネント
Windows レイヤー 2 トンネリング プロトコル
Microsoft QUIC
Skype for Business
Windows レイヤー 2 トンネリング プロトコル
Client Server Run-time Subsystem (CSRSS)
Windows レイヤー 2 トンネリング プロトコル
Windows レイヤー 2 トンネリング プロトコル
Windows レイヤー 2 トンネリング プロトコル
Windows レイヤー 2 トンネリング プロトコル
Windows レイヤー 2 トンネリング プロトコル
Windows Win32K
Windows レイヤー 2 トンネリング プロトコル
Windows レイヤー 2 トンネリング プロトコル
これらの脆弱性を悪用された場合、アプリケーションプログラムの異常終了や攻撃者によるパソコンの制御など、様々な被害が発生する可能性がある。
IPAおよびJPCERT/CCでは、Microsoft Update、Windows Updateなどでセキュリティ更新プログラムを早急に適用するよう呼びかけている。
また「Skype for Business の特権の昇格の脆弱性(CVE-2023-41763)」「Microsoft ワードパッドの情報漏えいの脆弱性(CVE-2023-36563)」「HTTP/2プロトコルのサービス運用妨害(DoS)の脆弱性(CVE-2023-44487)」について、Microsoft 社は「悪用の事実を確認済み」と公表しており、被害拡大のおそれがあるため、至急、修正プログラムを適用するよう呼びかけている。
