Microsoftが11月の月例パッチ公開、ゼロデイ脆弱性6件を修正

　日本マイクロソフト株式会社は9日、1月の月例セキュリティ更新プログラム（修正パッチ）を公開した。マイクロソフトではユーザーに対して、できるだけ早期に修正パッチを適用するよう呼びかけている。

　対象となるソフトウェアは、Windows、Office、SharePoint、Exchange Server、Microsoft .NET、Visual Studio、Microsoft Dynamics、Microsoft Azure-related software。また、Microsoft Edgeについては、月例の修正パッチとは別のタイミングでアップデートが行われている。

　これらのうち、最大深刻度が4段階で最も高い“緊急”の脆弱性の修正が含まれるソフトウェアは、Windows（Windows 11/10/8.1、Windows Server 2022/2019/2016/2012 R2/2012）、Exchange Server、Microsoft Azure-related software。修正パッチに含まれる脆弱性の件数はCVE番号ベースで65件で、うち最大深刻度が“緊急”のものが10件。

　今月のセキュリティ更新プログラムで修正した脆弱性のうち、「Windows Mark Of The Webセキュリティ機能のバイパスの脆弱性（CVE-2022-41091）」「Windows印刷スプーラーの特権の昇格の脆弱性（CVE-2022-41073）」「Windows CNGキー分離サービスの特権の昇格の脆弱性（CVE-2022-41125 ）」「Windowsスクリプト言語のリモートでコードが実行される脆弱性（CVE-2022-41128）」の4件は、既に脆弱性の悪用が確認されているとして、マイクロソフトでは早急に更新プログラムを適用するよう呼びかけている。

　また、今月のセキュリティ更新プログラムには、マイクロソフトが米国時間9月29日に公開した「Microsoft Exchange Serverの特権の昇格の脆弱性（CVE-2022-41040）」と「Microsoft Exchange Serverのリモートでコードが実行される脆弱性（CVE-2022-41082）」の修正も含まれている。これらの脆弱性も、既に脆弱性の悪用が確認されているとして、早急に更新プログラムを適用するよう呼びかけている。