Skip to main content
MSRC

2024 年 12 月のセキュリティ更新プログラム (月例)

Japan Security Team
/ By Japan Security Team / / 16 min read

2024 年 12 月 10 日 (米国時間) 、マイクロソフトは、マイクロソフト製品に影響する脆弱性を修正するために、セキュリティ更新プログラムを公開しました。影響を受ける製品をご利用のお客様は、できるだけ早期にセキュリティ更新プログラムを適用してください。なお、マイクロソフト製品では、一部の例外を除き既定で自動更新が有効になっており、自動的にセキュリティ更新プログラムが適用されます。最新の情報は、セキュリティ更新プログラム ガイド を確認してください。 

なお、今月の「悪意のあるソフトウェアの削除ツール」では、新たに対応を追加したファミリはありません。 



セキュリティ更新プログラム、セキュリティ アドバイザリに関する主な注意点 

  • 今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用が行われていること、や脆弱性の詳細が一般へ公開されていることを確認しています。お客様においては、更新プログラムの適用を早急に行ってください。脆弱性の詳細は、各 CVE のページを参照してください。 

    • CVE-2024-49138 Windows 共通ログ ファイル システム ドライバーの特権の昇格の脆弱性 

  • 今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2024-49112 Windows Lightweight Directory Access Protocol (LDAP) のリモートでコードが実行される脆弱性は、CVSS 基本値が9.8 と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性です。これらの脆弱性が存在する製品、および悪用が可能となる条件については、各CVEのページの「よく寄せられる質問」 を参照してください。セキュリティ更新プログラムが公開されるよりも前に、脆弱性の情報の一般への公開、脆弱性の悪用はありませんが、脆弱性の特性を鑑み、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨しています。 

  • セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してください。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2024 年 12 月セキュリティ更新プログラム リリースノートに掲載されています。 



2024 年12 月のセキュリティ更新プログラムを公開した製品、コンポーネント一覧 

2024 年 12 月 10 日 (米国時間) にセキュリティ更新プログラムを公開した製品およびコンポーネントの一覧は、2024 年 12 月セキュリティ更新プログラム リリースノートをご確認ください。 



2024 年 12 月のセキュリティ更新プログラム一覧 

2024 年12 月10 日 (米国時間) に公開したセキュリティ更新プログラムの一覧は次の通りです。 

最新の情報は、セキュリティ更新プログラム ガイド を確認してください。 

製品ファミリ 

最大深刻度 

最も大きな影響 

関連するサポート技術情報またはサポートの Web ページ 

Windows 11 v24H2, v23H2, v22H2 

緊急 

リモートでコードの実行が可能 

v24H2 5048667 
v24H2 HotPatch 5048794 
v23H2, v22H2 5048685 

Windows 10 v22H2 

緊急 

リモートでコードの実行が可能 

5048652 

Windows Server 2025 (Server Core installationを含む) 

緊急 

リモートでコードの実行が可能 

5048794 

Windows Server 2022,23H2 (Server Core installationを含む) 

緊急 

リモートでコードの実行が可能 

Windows Server 2022 5048654 
Windows Server 2022 HotPatch 5048800 
Windows Server 23H2 5048653 

Windows Server 2019 , 2016 (Server Core installation を含む) 

緊急 

リモートでコードの実行が可能 

Windows Server 2019, 5048661 
Windows Server 2016, 5048671 

Remote Desktop Client 

緊急 

リモートでコードの実行が可能 

https://learn.microsoft.com/windows-server/remote/remote-desktop-services/ 

Microsoft Office 

重要 

リモートでコードの実行が可能 

https://learn.microsoft.com/officeupdates 

Microsoft SharePoint 

重要 

リモートでコードの実行が可能 

https://learn.microsoft.com/officeupdates/sharepoint-updates 

System Center 

重要 

特権の昇格 

https://learn.microsoft.com/system-center 



既存の脆弱性情報の更新 

2024 年12 月10 日 (米国時間) に、既存の脆弱性 5 件を更新しました。 

  • CVE-2023-38171 Microsoft QUIC のサービス拒否の脆弱性
    CVE-2023-38171 に包括的に対処するため、マイクロソフトは 2023 年 10 月 24 日に、影響を受けるすべてのバージョンの .NET および Microsoft Visual Studio のセキュリティ更新プログラムをリリースしました。  マイクロソフトは、これらの製品を実行しているお客様に、この脆弱性から完全に保護される更新プログラムをインストールすることを推奨します。自動更新を受け取るようにシステムが設定されているお客様は、これ以上の対応をする必要はありません。 

  • CVE-2023-36435 Microsoft QUIC のサービス拒否の脆弱性
    CVE-2023-36435 に包括的に対処するために、Microsoft は 2023 年 10 月 24 日に .NET 7.0 のセキュリティ更新プログラムをリリースしました。  マイクロソフトは、.NET を実行しているお客様に、この脆弱性から完全に保護するために更新プログラムをインストールすることを推奨します。 

  • CVE-2023-44487 MITRE: CVE-2023-44487 HTTP/2 Rapid Reset Attack
    CVE-2023-44487 に包括的に対処するために、マイクロソフトは 2023 年 10 月 24 日に、影響を受けるすべてのバージョンの .NET および Microsoft Visual Studio のセキュリティ更新プログラムをリリースしました。  マイクロソフトは、これらの製品を実行しているお客様に、この脆弱性から完全に保護される更新プログラムをインストールすることを推奨します。自動更新を受け取るようにシステムが設定されているお客様は、これ以上の対応をする必要はありません。 

  • CVE-2024-38033 PowerShell の特権の昇格の脆弱性
    CVE-2024-38033 に包括的に対処するために、マイクロソフトは 2024 年 12 月 10 日に、影響を受けるすべてのバージョンの Windows Server 2012 および Windows Server 2012 R2 に対するセキュリティ更新プログラムをリリースしました。 マイクロソフトは、これらの製品を実行しているお客様に、この脆弱性から完全に保護される更新プログラムをインストールすることを推奨します。自動更新を受け取るようにシステムが設定されているお客様は、これ以上の対応をする必要はありません。 

  • CVE-2024-43583 Winlogon の特権の昇格の脆弱性
    「セキュリティ更新プログラム」の表にて、以下を変更しました。: 

    1. 本脆弱性の影響を受ける Windows Server 2025 を追加しました。 
    2. CVE-2024-43583 に包括的に対処するために、マイクロソフトは 2024 年 12 月に、サポートしているすべてのエディションの Windows にセキュリティ更新プログラムをリリースしました。マイクロソフトは、本脆弱性から完全に保護するために、更新プログラムをインストールすることを推奨します。自動更新を受け取るようにシステムが設定されているお客様は、これ以上の対応をする必要はありません。 



新規セキュリティ アドバイザリの公開 

2024 年 12 月10 日 (米国時間) に、新規のアドバイザリを 1 件を公開しました。 

  • ADV240002 Microsoft Office の多層防御機能の更新プログラム 
    マイクロソフトは、多層防御策としてセキュリティを強化する Microsoft Office 用更新プログラムをリリースしました。 



既存のセキュリティ アドバイザリの更新 

今月、更新した既存のセキュリティ アドバイザリはありません。 



補足情報

  • 最新のサービス スタック更新プログラム (SSU) は、アドバイザリ ADV990001 を確認してください。 

  • Microsoft Edge (Chromium-based) のセキュリティ情報は、公開のスケジュールが月例のリリースとは異なりますので、セキュリティ更新プログラム ガイド上で製品にて Microsoft Edge (Chromium-based) を選択し、確認してください。または、Edge のセキュリティ リリース情報にてご確認ください。 

  • 各脆弱性情報 (CVE) のページには、緩和策、回避策、注意事項やよく寄せられる質問など、追加の情報が掲載されている場合があります。セキュリティ更新プログラムの適用の前に、併せてご確認ください。 

  • 最新の情報は、セキュリティ更新プログラム ガイド を確認してください。セキュリティ更新プログラムガイドでは、セキュリティの脆弱性および更新プログラムの情報を、CVE、KB 番号、製品、またはリリース日別に並べ替えたりフィルターをかけたりすることができます。各月のセキュリティ更新プログラムを絞り込むには、日付範囲に絞り込む月の第 2 火曜日を指定して検索してください。なお、セキュリティ更新プログラム ガイド API を活用して、自社に特化したカスタム レポートを作成することができます。API の活用方法を紹介する 6 つのビデオ (API の情報 (GitHub)API へのアクセスHTML ファイルの出力Excel へのエクスポートCVE リストの取得KB リストの取得) を公開していますので、是非ご活用ください。 

  • マイクロソフトでは、セキュリティ更新プログラムの新着情報及び更新情報を、お客様がタイムリーに受け取れるように、通知方法法をリニューアルしました。まだ購読されていない方、これまでのメールでの通知のみ受信している方は、この機会にどちらかの方法で、是非ご登録ください。 

次回のセキュリティ更新プログラムのリリースは、2025 年 1 月 14 日 (米国時間) を予定しています。詳しくは、年間スケジュール を参照してください。

Related Posts

How satisfied are you with the MSRC Blog?

Rating

Feedback * (required)

Your detailed feedback helps us improve your experience. Please enter between 10 and 2,000 characters.

Thank you for your feedback!

We'll review your input and work on improving the site.