Microsoft、2024年12月の月例更新 - 72件の脆弱性への対応が行われる

マイクロソフトでは、セキュリティ更新プログラム、セキュリティアドバイザリに関する注意点として、以下をあげる。

今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用が行われていることや脆弱性の詳細が一般へ公開されていることを確認している。ユーザーにおいては、更新プログラムの適用を早急に行ってほしい。脆弱性の詳細は、各CVEのページを参照してほしい。

CVE-2024-49138 Windows共通ログファイルシステムドライバーの特権の昇格の脆弱性

今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2024-49112 Windows Lightweight Directory Access Protocol（LDAP）のリモートでコードが実行される脆弱性は、CVSS基本値が9.8と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性である。これらの脆弱性が存在する製品、および悪用が可能となる条件については、各CVEのページの「よく寄せられる質問」を参照してほしい。セキュリティ更新プログラムが公開されるよりも前に、脆弱性の情報の一般への公開、脆弱性の悪用はないが、脆弱性の特性を鑑み、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨している。
セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してほしい。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2024年12月セキュリティ更新プログラムリリースノートに掲載されている。

新たに確認した脆弱性に対応した新しいセキュリティ更新プログラムは、以下の通り。
○Windows 11 v24H2、v23H2、v22H2

緊急（リモートでコードの実行が可能）

v24H2：KB5048667
v24H2ホットパッチ：KB5048794
v23H2、v22H2：KB5048685

Windows 11 v24H2の更新プログラムであるKB5048667のハイライトの一部は

Windowsオペレーティングシステムのセキュリティの問題に対処する

である。
○Windows 10 v22H2

緊急（リモートでコードの実行が可能）

KB5048652

○Windows Server 2025（Server Core installationを含む）