Note:
この記事は 2023年7月11日(太平洋標準時)に公開された Microsoft セキュリティ更新プログラムの概要をまとめたものです。
以下の製品群にフォーカスしたものとなっています。(主にデバイス管理者向け)
・各クライアントOS ( bitness は x64 対象 )
Windows 11 (22H2)
Windows 10 (22H2/21H2/1607LTSB)
・Microsoft Office (Microsoft 365 Apps for Enterprise)
・Microsoft Edge (Stable v114)
Microsoft がナレッジ内で言及している推奨手法(回避策)については"タメ語"で一部表現しておりますが、ご容赦ください。
Summary
・脆弱性修正では、Win10/11系列ともに悪用実績ありが3件。CVSS高スコア(9.8)もあり。
・一部脆弱性はパッチ未リリースかつゼロデイ。副作用ありの回避策はあり。(後述)
・M365Apps は半期チャネル・プレビューチャネルにて、来月まではバージョン 2302 にて並走期間。
・.NET Framework 更新あり
・Win11 22H2では、品質更新内に複数の小さな機能更新が収録されている。(Outlookとエクスプローラーの連動機能、日本語を含むライブキャプション機能、VPNステータスアイコン等)
・(セキュリティ更新とは関係ないですが) Azure AD はブランド名変更で Entra ID へ。
Comment
もはや Windows 11 においては、OS機能追加は機能更新プログラムという年単位のものだけでは行われなくなってきています。
直近では以下のような動きがありました。
・毎月公開されている品質更新にて、新機能を表面上伏せた状態でモジュール更新を行う。
↓
・新機能を表面化させるスイッチとなる"Windows構成の更新"プログラムをオプション公開し、インストールしたPCでは新機能を表面化させ、有効化する。
↓
・その後の品質更新(6Cおよび今回の7B)にて、Windows構成の更新を配合し、事実上必須展開化する。
グチャグチャと言ってますが、要するに品質更新で新機能追加...といってもよいのではないかと思います。
(参考ナレッジ)
Windows 11での継続的なイノベーションの実現
Windows Client 今月の献立
| Version | Build | CU KB | NetFx KB | SSU KB | Other |
|---|---|---|---|---|---|
| 22H2 (Win11) | 22621.1992 | 5028185 | 5028851 | - | (5012170) |
| 22H2 (Win10) | 19045.3208 | 5028166 | 5028937 | - | (5012170) |
| 21H2 (Win10) | 19044.3208 | 5028166 | 5028944 | (5014032) ※1 | (5012170) |
| 1607 | 14393.6085 | 5028169 | 5028854 | (5023788) | (5012170) (4589210) ※2 |
※1 単体SSUにおける最新。各種前提を適用できていない場合は 2022年5月のSSU(KB5014032) を先に適用してね。
※2 Intel マイクロコード更新。
2023-07 .NET Framework 3.5 および 4.8.1 の累積的な更新プログラム (x64 向け Windows 11, version 22H2 用) (KB5028851)
2023-07 x64 (KB5028937) 向け Windows 10 Version 22H2 用 .NET Framework 3.5、4.8 および 4.8.1 の累積的な更新プログラム
2023-07 x64 (KB5028944) 向け Windows 10 Version 21H2 用 .NET Framework 3.5、4.8 および 4.8.1 の累積的な更新プログラム
2023-07 Windows 10 Version 1607 (x64 版) 用 .NET Framework 4.8 の累積的な更新プログラム (KB5028854)
# 先月以前からの継続
2023-03x64 ベース システム用 Windows 10 Version 1607 サービス スタック更新プログラム (KB5023788)
# LCU では最新の SSU の適用を強く推奨するという表現。
2022-12 x64 ベース システム用 Windows 10 Version 22H2 のセキュリティ更新プログラム (KB5012170)
2022-08 x64 ベース システム用 Windows 10 Version 21H2 のセキュリティ更新プログラム (KB5012170)
2022-08 x64 ベース システム用 Windows 10 Version 20H2 のセキュリティ更新プログラム (KB5012170)
2021-01 x64 ベース システム用 Windows 10 Version 1607 更新プログラム (KB4589210)
Microsoft Edge-WebView2 Runtime バージョン 114 Update の x64 ベース エディション (ビルド 114.0.1823.79)
Windows Known Issues (2023/07/12 05:00 JST)
バージョン共通 (情報更新のみ)
| Issues | Status/WorkAround |
|---|---|
| スタートメニュー、Windows Search、UWPアプリを開く際に期待通りに動作しない可能性あり。 Office APIを使用してWindows、Office、Outlook(カレンダー)統合のアプリが対象。(ClickShareが代表例) ※累積更新インストールによるものではなく、アプリ側の更新によって事象発生している可能性あり。 |
6CにてFix。 |
| 11Bリリース以降の累積更新適用後、DirectX利用しているアプリにて apphelp.dllエラーが発生する可能性あり。 ・Intelグラフィックスドライバーの 26.20.100.7463 ~ 30.0.101.1190 がインストールされているデバイスが対象。 ・DirectX または Direct3D を使用してコンテンツのレンダリングをしているアプリが対象。 |
Intelグラフィックスドライバーにて 30.0.101.1190 より新しいものをインストールしてね。 |
22H2(Win11) (新規なし)
| Issues | Status/WorkAround |
|---|---|
| プロビジョニングパッケージを使用すると、期待通りに動作しない可能性あり。 OOBEが終了しない、予期せぬ再起動の発生、Windowsが部分的にしか構成されない可能性あり。(Autopilot除く) |
22H2にアップグレードする前にデバイスをプロビジョニングしてね。調査中。 |
22H2/21H2(Win10) (新規なし)
| Issues | Status/WorkAround |
|---|---|
| 日本語IME利用時にローマ字/かな入力モードの自動的な変更ができない場合がある。 ImmSetConversionStatus 関数または VK_KANA キーエミュレーションを使用したアプリで発生する。 |
以前のバージョンのIMEを使用してね。調査中。 |
| 濁点・半濁点のついた半角カタカナと全角カタカナが同じ文字として解釈されない。CompareStringEx()関数をNORM_IGNOREWIDTHフラグとともに使用して比較すると事象が発生する。(※2004 6B以降で既に発生するもの) | レジストリにて NLS sorting rule を 6.2(=1909以前のもの) に戻すことで事象回避が行える。 ※11C(KB4586853)未適用状態で実施するとシステムが起動できなくなる恐れあり。 |
| LCUを適用(SlipStream)させたカスタムオフラインメディアやISOイメージから構成されたデバイスでは、Edge Legacy が削除されるが New Edge がインストールされない可能性あり。 | LCUをSlipStreamする前に、LCU/SSU統合パッケージからCABを抽出して、SSUのCABを先行して適用してね。 |
1607(LTSB) (新規なし)
SecureBootDBX更新プログラム(KB5012170) (新規なし)
| Issues | Status/WorkAround |
|---|---|
| グループポリシー "ネイティブ UEFI ファームウェア構成の TPM のプラットフォーム検証プロファイルを構成する"を有効化して PCR7 を選択している場合、インストールに失敗する可能性あり。 | BitLockerを再起動回数1~3回分一時停止してね。 (Credential Guard無効/有効で差あり。) |
Vulnerability
以下の基準でピックアップしたものです。(脆弱性全ての一覧ではありません。)
・ゼロデイ(一般公開/悪用実績あり)
・CVSSスコアが高い (9.0以上)
・その他話題になっているもの
| CVE# | タイトル | 深刻度 | 一般公開 | 悪用実績 | 悪用可能性指標 | CVSSスコア関連 | 備考 |
|---|---|---|---|---|---|---|---|
| CVE-2023-32057 | Microsoft Message Queuing のリモートでコードが実行される脆弱性 | 緊急 | なし | なし | 悪用される可能性は低い | スコア : 9.8 攻撃経路:NW 条件複雑:低 必要特権 : なし ユーザー関与:不要 スコープ:変更なし 機密性:高 完全性:高 可用性:高 |
CVSS高スコア。 MSMQ (Microsoft メッセージ キュー サーバー)を有効にしている PGMサーバー環境のみ対象。 攻撃者が特別に細工された MSMQ パケットを MSMQ サーバーに対して送信することで、リモートで任意のコードが実行される可能性あり。 |
| CVE-2023-35365 / CVE-2023-35366 / CVE-2023-35367 | Windows ルーティングとリモート アクセス サービス (RRAS) のリモートでコードが実行される脆弱性 | 緊急 | なし | なし | 悪用される可能性は低い | スコア : 9.8 攻撃経路:NW 条件複雑:低 必要特権 : なし ユーザー関与:不要 スコープ:変更なし 機密性:高 完全性:高 可用性:高 |
CVSS高スコア。ルーティングとリモートアクセスサービス(RRAS)をインストール・構成した Windows Server のみ影響あり。 RRASが構成されたサーバーに特別に細工されたパケットを送信することで、リモートで任意のコードが実行される可能性あり。 |
| CVE-2023-32049 | Windows SmartScreen のセキュリティ機能のバイパスの脆弱性 | 重要 | なし | あり | 悪用の事実を確認済み | スコア : 8.8 攻撃経路:NW 条件複雑:低 必要特権 : なし ユーザー関与:必要 スコープ:変更なし 機密性:高 完全性:高 可用性:高 |
今月のゼロデイ。特別に細工されたURLをユーザーがクリックすることで、"ファイルを開く - セキュリティ警告"プロンプトをバイパスする可能性あり。 |
| CVE-2023-32046 | Windows MSHTML プラットフォームの特権の昇格の脆弱性 | 重要 | なし | あり | 悪用の事実を確認済み | スコア : 7.8 攻撃経路:LOCAL 条件複雑:低 必要特権 : なし ユーザー関与:必要 スコープ:変更なし 機密性:高 完全性:高 可用性:高 |
今月のゼロデイ。特別に細工されたファイルをユーザーに開かせることで、影響を受けるアプリケーションを実行しているユーザーの権限を獲得する可能性あり。 |
| CVE-2023-36874 | Windows エラー報告サービスの特権の昇格の脆弱性 | 重要 | なし | あり | 悪用の事実を確認済み | スコア : 7.8 攻撃経路:LOCAL 条件複雑:低 必要特権 : なし ユーザー関与:必要 スコープ:変更なし 機密性:高 完全性:高 可用性:高 |
今月のゼロデイ。ローカルアクセス権(通常のユーザーレベル)を持った攻撃者が、特別に細工したパフォーマンストレースを利用して、メモリを破損させて管理者特権を獲得する可能性あり。 |
| CVE-2023-35311 | Microsoft Outlook のセキュリティ機能のバイパスの脆弱性 | 重要 | なし | あり | 悪用の事実を確認済み | スコア : 8.8 攻撃経路:NW 条件複雑:低 必要特権 : なし ユーザー関与:必要 スコープ:変更なし 機密性:高 完全性:高 可用性:高 |
今月のゼロデイ。Outlookにてプレビューウィンドウを含む表示の中で特別に細工されたURLをユーザーがクリックすることで、Outlookの"ファイルを開く - セキュリティ警告"プロンプトをバイパスする可能性あり。 |
| CVE-2023-36884 | Office and Windows HTML Remote Code Execution Vulnerability | 重要 | なし | あり | 悪用の事実を確認済み | スコア : 8.3 攻撃経路:NW 条件複雑:高 必要特権 : なし ユーザー関与:必要 スコープ:変更あり 機密性:高 完全性:高 可用性:高 |
今月のゼロデイかつパッチ未リリース。攻撃者は特別に細工されたOfficeドキュメントをユーザーに開かせることで、システム上で任意のコードを実行する可能性あり。 EDR(MSDE)利用の他、クロスプロトコルファイルナビゲーション機能の悪用となるため、本機能をブロックするレジストリを設定することで緩和可能。 |
M365Apps 今月の献立
| Channel | Build |
|---|---|
| Current | Version 2306 (Build 16529.20182) |
| Monthly Enterprise | Version 2305 (Build 16501.20242) Version 2304 (Build 16327.20348) |
| Semi-Annual Enterprise Preview | Version 2302 (Build 16130.20644) |
| Semi-Annual Enterprise | Version 2302 (Build 16130.20644) Version 2208 (Build 15601.20706) Version 2202 (Build 14931.21040) |
| Perpetual Enterprise (Office 2019 Standard) | Version 1808 (Build 10400.20007) |
Office Known Issues (2023/07/12 12:00 JST)
| Apps | Issues | Status/WorkAround |
|---|---|---|
| PowerPoint | 32bitアプリでは秘密度ラベルの自動適用・推奨機能が利用できない。 | 32bitアプリでは当機能がサポートできていないため。対応中。 |
| Outlook | Outlookの起動が遅く、スプラッシュ画面で長時間スタックする。 内部的にはRESTからMAPIへの切り替え時に問題が発生する。 ※開くことをキャンセルして再試行すると解消することがある。 |
調査中。回避策は2点。 ・下記レジストリを設定して、RESTを強制化する。 HKCU:\Software\Policies\Microsoft\Office\16.0\Outlook\Options\Calendar RestUpdatesForCalendar (REG_DWORD) 1 ・設定から共有予定表の機能強化を無効化する。 |
| Outlook | 予測入力変換が機能せず、設定上も「入力中にテキスト予測を表示する」オプションが表示されない。 | 調査中。 |
| Outlook | タッチモードで各アプリ(ToDo)が機能しない。 | 調査中。 回避策→マウス使ってね。 |
| Outlook | クイック操作にて新規に"新しい電子メールの宛先"を作成する際、オートコンプリート機能を利用して連絡先を選択して完了すると、内容が保存できない。 | 調査中。 回避策は、アドレス帳で連絡先を検索するボタンを利用するか、レジストリ(※)を追加してね。 HKCU:\software\policies\Microsoft\office\16.0\outlook DoNotIncludeNickNameCacheInSearch (REG_DWORD) Value: 1 |
| Outlook | 会議出席者が、代理人によって変更された添付ファイルを含む会議の更新またはその一部を取得できない可能性あり。 | 調査中。 共有予定表の機能強化を無効にすることで回避可能。(アカウント設定) |
| Outlook | 共有予定表で終日イベントを拡張すると予期せぬ伸縮が起きる可能性あり。 | 調査中。 共有予定表の機能強化を無効にすることで回避可能。(アカウント設定) |
| Outlook | オンラインモードでメールボックスにアクセスし、メッセージの転送や分類、フラグを設定しようとすると"操作に失敗しました"というエラーが表示される場合あり。 | 調査中。 回避策:キャッシュモードで利用するか、Web版を利用してね。 |