Skip to main content
MSRC

2023 年 3 月のセキュリティ更新プログラム (月例)

2023 年 3 月 14 日 (米国時間) 、マイクロソフトは、マイクロソフト製品に影響する脆弱性を修正するために、セキュリティ更新プログラムを公開しました。影響を受ける製品をご利用のお客様は、できるだけ早期に、公開されたセキュリティ更新プログラムを適用してください。なお、マイクロソフト製品では、一部の例外を除き既定で自動更新が有効になっており、自動的にセキュリティ更新プログラムが適用されます。最新の情報は、セキュリティ更新プログラム ガイド を確認してください。

なお、今月の「悪意のあるソフトウェアの削除ツール」では、このツールで削除できる悪意のあるソフトウェアが追加されています。詳細は、対象のマルウェアファミリ を参照してください。



セキュリティ更新プログラム、セキュリティ アドバイザリに関する主な注意点

  • 今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2023-24880 Windows SmartScreen のセキュリティ機能のバイパスの脆弱性は、セキュリティ更新プログラムの公開よりも前に、脆弱性の情報の一般への公開、脆弱性の悪用を確認しています。お客様においては、更新プログラムの適用を早急に行ってください。詳細は、CVE-2023-24880 を参照してください。

  • 今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2023-23397 Microsoft Outlook の特権昇格の脆弱性は、既に脆弱性の悪用が行われていることを確認しています。なお、セキュリティ更新プログラムの公開時点では、この脆弱性の詳細の一般への公開は確認されていません。お客様においては、更新プログラムの適用を早急に行ってください。 詳細は、CVE-2023-23397、および Microsoft Mitigates Outlook Elevation of Privilege Vulnerability を参照してください。

  • 今月のセキュリティ更新プログラムで修正した脆弱性のうち、次の 4 つの脆弱性は、CVSS 基本値が 9.8 と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性です。これらの脆弱性が存在する製品、および悪用が可能となる条件については、各 CVE のページの「よく寄せられる質問」 を参照してください。セキュリティ更新プログラムが公開されるよりも前の脆弱性情報の一般への公開、脆弱性の悪用は確認していませんが、脆弱性の特性を鑑み、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨しています。

    • CVE-2023-23392 HTTP プロトコル スタックのリモートでコードが実行される脆弱性
    • CVE-2023-21708 リモート プロシージャ コール ランタイムのリモートでコードが実行される脆弱性
    • CVE-2023-23415 インターネット制御メッセージ プロトコル (ICMP) のリモートでコードが実行される脆弱性
    • CVE-2023-23397 Microsoft Outlook の特権昇格の脆弱性
  • 2023 年 2 月 14 日 (米国時間) に公開した Microsoft Exchange Server の更新プログラムを適用した、ごく一部の環境にて Exchange Web サービスに問題が発生することを確認しています。この問題に対処するために、2023 年 3 月 14 日 (米国時間) に、更新プログラムを再リリースしました。2 月の更新プログラムを適用後、問題が発生している場合は、3 月の Exchange Server の更新プログラムをインストールすることをお勧めします。詳細については、CVE-2023-21707 および、Microsoft Exchange チームブログ Released: March 2023 Exchange Server Security Updates も併せてご参照ください。

  • 今月のセキュリティ更新プログラムを適用すると、DCOM サーバーのセキュリティ強化が第 3 フェーズになります。第 3 フェーズでは、強化機能が既定で有効になり、無効にする機能はなくなります。DCOM サーバーの管理者は、更新プログラムを適用するまでに、環境内の機能強化の変更とアプリケーションに関する互換性の問題を解決する必要があります。詳細については、CVE-2021-26414 を参照ください。

  • セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してください。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2023 年 3 月セキュリティ更新プログラム リリースノート に掲載されています。



2023 年 3 月のセキュリティ更新プログラムを公開した製品、コンポーネント一覧

2023 年 3 月 14 日 (米国時間) にセキュリティ更新プログラムを公開した製品およびコンポーネントの一覧は、2023 年 3 月セキュリティ更新プログラム リリースノート をご確認ください。



2023 年 3 月のセキュリティ更新プログラム一覧

2023 年 3 月 14 日 (米国時間) に公開したセキュリティ更新プログラムの一覧は次の通りです。

最新の情報は、セキュリティ更新プログラム ガイド を確認してください。

製品ファミリ 最大深刻度 最も大きな影響 関連するサポート技術情報またはサポートの Web ページ
Windows 11 v21H2 および v22H2 緊急 リモートでコードの実行が可能 “Version 22H2 5023706 , Version 21H2 5023698
Windows 10 v22H2,v21H2,および v20H2 緊急 リモートでコードの実行が可能 5023696
Windows Server 2022 (Server Core installation を含む) 緊急 リモートでコードの実行が可能 5023705
Windows Server 2019 , 2016 (Server Core installation を含む) 緊急 リモートでコードの実行が可能 Windows Server 2019, 5023702 , Windows Server 2016 5023697
Server 2012 R2, Windows Server 2012 (Server Core installation を含む) 緊急 リモートでコードの実行が可能 Windows Server 2012 R2 Monthly Rollup 5023765 Security Only 5023764 ,Windows Server 2012 Monthly Rollup 5023756 Security Only 5023752
Microsoft Office 緊急 リモートでコードの実行が可能 https://learn.microsoft.com/officeupdates
Microsoft SharePoint 重要 なりすまし https://learn.microsoft.com/officeupdates/sharepoint-updates
Microsoft Exchange Server 重要 リモートでコードの実行が可能   https://learn.microsoft.com/exchange Released: March 2023 Exchange Server Security Updates
Microsoft Visual Studio 重要 リモートでコードの実行が可能 https://learn.microsoft.com/visualstudio
Microsoft Dynamics 365 重要 情報漏えい https://learn.microsoft.com/dynamics365
Microsoft Azure-related software 重要 なりすまし https://learn.microsoft.com/azure
Microsoft Malware Protection Engine 重要 特権の昇格 https://learn.microsoft.com/system-center



既存の脆弱性情報の更新

2023 年 3 月 14 日 (米国時間) に、既存の脆弱性 5 件を更新しました。

  • CVE-2023-21707 Microsoft Exchange Server のリモートでコードが実行される脆弱性 CVE を更新し、セキュリティ更新プログラムの再リリースをお知らせしました。詳細については、「よく寄せられる質問」セクションを参照してください。

  • CVE-2022-43552 オープン ソース Curl のリモートでコードが実行される脆弱性 マイクロソフトは、特定のバージョンの Windows が cURL の脆弱性の影響を受けるという認識に従って、Windows ソフトウェアを追加するために CVE を更新しました。マイクロソフトは、今後のセキュリティ リリースでこの問題を解決する新しい cURL オープン ソース ライブラリを組み込む予定です。

  • CVE-2022-23257 Windows Hyper-V のリモートでコードが実行される脆弱性 「セキュリティ更新プログラム」の一覧に、この脆弱性の影響を受ける Windows 11 Version 22H2 for x64-based Systems を追加しました。この脆弱性から完全に保護するために、2023 年 3 月の更新プログラムをインストールすることを強くお勧めします。システムが自動更新を受信するように構成されているお客様は、特別な措置を講じる必要はありません。

  • CVE-2022-23816 AMD: CVE-2022-23816 AMD CPU Branch Type Confusion

  • CVE-2022-23825 AMD: CVE-2022-23825 AMD CPU Branch Type Confusion

この CVE に対して以下を更新しました。

  1. マイクロソフトは、Windows Server 2022 および Windows Server 2022 (Server Core インストール) を除き、サポートされているすべてのバージョンの Windows でこの脆弱性を解決するために、2023 年 3 月のセキュリティ更新プログラムが利用可能になったことをお知らせします。Windows Server 2022 の更新プログラムは 2023 年 2 月 15 日にリリースされました。 2)すべてのバージョンの Windows 7 および Windows 8.1 がサポートされなくなったので、「セキュリティ更新プログラム」一覧から削除しました。



新規セキュリティ アドバイザリの公開

今月は、新規セキュリティ アドバイザリの公開はありません。



既存のセキュリティ アドバイザリの更新

次のセキュリティ アドバイザリを更新しました。

  • ADV990001 最新のサービス スタック更新プログラム: 新しいバージョンのサービス スタック更新プログラムが入手可能であることをお知らせするために、アドバイザリが更新されました。



補足情報



次回のセキュリティ更新プログラムのリリースは、2023 年 4 月 11 日 (米国時間) を予定しています。詳しくは、年間スケジュールを参照してください。




Related Posts

How satisfied are you with the MSRC Blog?

Rating

Feedback * (required)

Your detailed feedback helps us improve your experience. Please enter between 10 and 2,000 characters.

Thank you for your feedback!

We'll review your input and work on improving the site.