Microsoftが1月の月例パッチ公開、悪用の危険性が高い脆弱性を含む97件を修正

　日本マイクロソフト株式会社は12日、1月の月例セキュリティ更新プログラム（修正パッチ）を公開した。マイクロソフトではユーザーに対して、できるだけ早期に修正パッチを適用するよう呼びかけている。

　対象となるソフトウェアは、Windows、Office、SharePoint、Exchange Server、Microsoft .NET、Dynamics 365、Remote Desktop Client for Windows Desktop。

　これらのうち、最大深刻度が4段階で最も高い“緊急”の脆弱性の修正が含まれるソフトウェアは、Windows（Windows 11/10/8.1、Windows Server 2022/2019/2016/2012 R2/2012）、Office、SharePoint、Exchange Server。修正パッチに含まれる脆弱性の件数はCVE番号ベースで97件で、うち最大深刻度が“緊急”のものが9件。また、Microsoft Edgeについては、月例の修正パッチとは別のタイミングでアップデートが行われている。

　修正した脆弱性のうち、Windows関連のCVE-2022-21919、CVE-2022-21874、CVE-2022-21839、CVE-2022-21836の4件と、Windowsで利用しているオープンソースソフトウェアのLibrachiveに関連するCVE-2021-36976およびCurlに関連するCVE-2021-22947の2件については、パッチ提供前に脆弱性情報が一般に公開されていたことが確認されている。なお、これらの脆弱性については、パッチ公開時点で悪用は確認されていない。

　また、「HTTPプロトコルスタックのリモートでコードが実行される脆弱性（CVE-2022-21907）」および「Windows IKE Extensionでコードが実行される脆弱性（CVE-2022-21849）」の2件については、共通脆弱性評価システムCVSSのBaseスコアが9.8と高く、認証やユーザーの操作なしで悪用が可能な脆弱性になっている。現時点でこの2件の脆弱性の悪用は確認されていないが、脆弱性の特性を鑑みて、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨するとしている。