Microsoftが10月の月例パッチ公開、Windows Server 2012 R2/2012はサポート終了

　日本マイクロソフト株式会社は11日、10月の月例セキュリティ更新プログラム（修正パッチ）を公開した。マイクロソフトではユーザーに対して、できるだけ早期に修正パッチを適用するよう呼びかけている。

　対象となるソフトウェアは、Windows、Office、Exchange Server、Microsoft .NET、Visual Studio、Microsoft Azure DevOps Server、Dynamics 365、Microsoft SQL Server、Skype for Business Server、Azure 関連のソフトウェア。また、Microsoft Edgeは、月例の修正パッチとは別のタイミングでアップデートが行われている。

　これらのうち、最大深刻度が4段階で最も高い“緊急”の脆弱性の修正が含まれるソフトウェアは、Windows（Windows 11/10、Windows Server 2022/2019/2016/2012 R2/2012）のみ。修正パッチに含まれる脆弱性の件数はCVE番号ベースで104件、うち最大深刻度が“緊急”のものが12件。

　今月のセキュリティ更新プログラムで修正した脆弱性のうち、「Skype for Business の特権の昇格の脆弱性（CVE-2023-41763）」「Microsoft ワードパッドの情報漏えいの脆弱性（CVE-2023-36563）」「MITRE: CVE-2023-44487 HTTP/2 Rapid Reset Attack（CVE-2023-44487）」の3件については、更新プログラムの公開前に脆弱性の悪用や情報の公開が確認されており、マイクロソフトでは更新プログラムを早急に適用するよう呼びかけている。

　また、Windows Server 2012 R2/2012は、米国時間10月10日にサポート終了となった。Windows Server 2012 R2/2012は、今月のセキュリティ更新プログラムが最後の提供となるため、マイクロソフトではWindows Server 2022へのアップグレードや、Microsoft Azureへの移行により最大3年間の拡張セキュリティ更新プログラム（ESU）を入手することなどを呼びかけている。