Reading Time: 1 minutes
こんにちは、ManageEngineコンテンツ担当の園部です。
2022年6月のMicrosoftセキュリティ更新プログラムの概要を解説します。
月例のセキュリティ更新プログラムとは?
月例のセキュリティ更新プログラムとは、Microsoft社が毎月第2火曜(日本時間で水曜日の場合もあります)に公開する、OSやその他の関連アプリケーションのセキュリティアップデートやその他アップデートのことを指します。この配信のことを「パッチチューズデー」などと呼ぶこともあります。
バグや脆弱性・ゼロデイ脆弱性を修正するための重要なセキュリティアップデートがこの日に多くリリースされます。 なお、緊急性が高く頻繁に悪用される脆弱性が発見された場合は、パッチチューズデー以外の日にパッチがリリースされることもあります。
2022年6月度のMicrosoftセキュリティ更新プログラムの概要
Microsoft社は2022年6月に、55件の脆弱性に対する修正を行いました。
今月リリースされたセキュリティアップデートには、以下の製品や機能が含まれています。
今月は「Edge」や「Office」「Excel」等、エンドユーザーが利用する機会の多いアプリケーションの更新が含まれています。
- .NET and Visual Studio
- Azure OMI
- Azure Real Time Operating System
- Azure Service Fabric Container
- Intel
- Microsoft Edge (Chromium-based)
- Microsoft Office
- Microsoft Office Excel
- Microsoft Office SharePoint
- Microsoft Windows ALPC
- Microsoft Windows Codecs Library
- Remote Volume Shadow Copy Service (RVSS)
- Role: Windows Hyper-V
- SQL Server
- Windows Ancillary Function Driver for WinSock
- Windows App Store
- Windows Autopilot
- Windows Container Isolation FS Filter Driver
- Windows Container Manager Service
- Windows Defender
- Windows Encrypting File System (EFS)
- Windows File History Service
- Windows Installer
- Windows iSCSI
- Windows Kerberos
- Windows Kernel
- Windows LDAP – Lightweight Directory Access Protocol
- Windows Local Security Authority Subsystem Service
- Windows Media
- Windows Network Address Translation (NAT)
- Windows Network File System
- Windows PowerShell
- Windows SMB
2022年6月に修正されたゼロデイ脆弱性
2022年6月の月例パッチでは5月末に発見された悪名高いゼロデイ脆弱性「Follina」(CVE-2022-3019)に対するアップデートが提供されました。
この脆弱性は世界各地で活発に悪用されているという報告があり、注意が必要です。
この脆弱性は、Microsoft Wordなどのアプリケーションから URLを使用してMicrosoft Support Diagnostic Tool(MSDT)が呼び出された場合に、リモートでコードを実行できるようになるものです。
現在もセキュリティ更新プログラムが提供されているすべてのWindowsバージョン(Windows 7以降、Windows Server 2008以降)に影響を及ぼします。
この脆弱性を利用すると、アプリケーションのインストール・データの閲覧・変更・削除・新規アカウントの作成など、さまざまな操作を行うことができます。
これを利用し、攻撃者は、米国政府機関やウクライナのメディア企業など、世界中の組織を対象にフィッシング攻撃を行いました。
今回のパッチチューズデーで、マイクロソフトはこのゼロデイ脆弱性に対応するセキュリティ更新プログラムを公開しました。この更新プログラムは、2022年6月の累積更新プログラムに含まれており、また、Windows Server用の独立したセキュリティ更新プログラムとしても提供されています。
深刻度が緊急の脆弱性とパッチ
2022年6月にリリースされた深刻度が「緊急」の脆弱性の概要と対応するパッチは以下の3点です。
| CVE識別番号 | KB番号 | 影響を受けるコンポーネント | 概要 |
|---|---|---|---|
| CVE-2022-30163 | 5014677,5014678 5014692,5014697 5014699,5014702 5014710,5014738 5014741,5014742 5014746,5014747 5014748 |
Windows Hyper-V | リモートでコードが実行される脆弱性 |
| CVE-2022-30139 | 5014677,5014678 5014692,5014697 5014699,5014702 5014710 |
Windows Lightweight Directory Access Protocol (LDAP) | リモートでコードが実行される脆弱性 |
| CVE-2022-30136 | 5014692,5014702 5014738,5014741 5014746,5014747 |
Microsoft ネットワーク ファイル システム | リモートでコードが実行される脆弱性 |
サードパーティのアップデート
2022年5月度の月例パッチのリリース後、Google・Cisco・ Atlassian・GitLabなどの主要ITベンダーがアップデートをリリースしています。
Internet Explorer11がついにサポート終了!効率的なソフトウェア管理方法
マイクロソフト社は今月15日、Windows 10環境における「Internet Explorer 11」のサポートを終了しました。
2013年に最新バージョンであるInternet Explorer11(IE11)がリリースされてから10年近くに渡り利用されてきましたが、今月をもって遂に歴史に終止符を打つこととなりました。
IE11のサポート終了後はEdgeの利用が推奨されています。
Edgeには、IEを前提としたWebアプリケーション等のために「IEモード」が用意され、レガシー設計のWebサイトをIEモードで閲覧することも可能です。
組織の方針により利用すべきブラウザが決まっている場合は、ManageEngineの統合エンドポイント管理ソフトウェア「Desktop Central」ですべての社員のPCに配布を行ったり、特定のソフトウェアを使用禁止にしたりすることが可能です。
エンドポイントの効率的な管理ソリューションをお探しの方は、是非ManageEngineの統合エンドポイント管理製品をご検討ください。
統合エンドポイント管理を実現するならDesktop Central
【Desktop Central 概要資料のダウンロードはこちら】
【Desktop Central 評価版のダウンロードはこちら】
統合エンドポイント管理ツール「Desktop Central」
パッチ管理から始めるならPatch Manager Plus
【Patch Manager Plus 概要資料のダウンロードはこちら】
【Patch Manager Plus 評価版のダウンロードはこちら】
パッチ管理ツール「Patch Manager Plus」
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。