このサイトを正しく表示するには、最新のブラウザを使用し、Javascriptを有効化してください。

WindowsにプリインストールされたcURLの脆弱性(CVE-2023-38545)の対応について

ゆうと

Tenableによるスキャンで、多数のワークステーションが脆弱性を持つと判定されています。これらのマシンにはcURLがプリインストールされており、この脆弱性CVE-2023-38545の影響を受けるとのことです。

対応にはMicrosoftからのアップデートを待つ必要があると認識していますが、脆弱性管理の担当者へ報告するためのタイムラインが必要です。アップデートがいつ頃リリースされるか、何か情報をいただけないでしょうか。

渡部

ここはユーザー同士が情報交換を行う公開フォーラムであり、Microsoftの社員が常駐しているわけではありません。そのため、Microsoftの具体的なアップデート時期について、ここで正確な情報を得ることは難しいでしょう。

より詳しい情報を持つユーザーがいる可能性もありますが、少し待つ必要があるかもしれません。

おおば

このようなセキュリティに関する情報は、いかなるオープンフォーラムでもなく、Microsoft MSRC（セキュリティレスポンスセンター）のような公式サイトで確認することが最も確実です。

あなたの質問の件名にあるCVE番号で検索したところ、以下の公式情報が見つかりました。

CVE-2023-38545 - セキュリティ更新プログラムガイド - Microsoft

このページのFAQ項目1に、あなたが求めている情報（利用可能になった際の更新プログラムの確認方法など）が正確に記載されています。

追記:同じくFAQの項目4を読む限り、この脆弱性が悪用されるために必要な条件は非常に特殊であり、個人的には過度に心配する必要はないと考えています。修正済みのcurl.exe自体は既に存在するようですが、それがWindowsのコンポーネントアップデートに含まれるのを待つ必要があります。しかし、攻撃が成功する可能性の低さから、Microsoftがこの件を急いで対応するとは考えにくいです。

ゆうと

おおば

ご回答ありがとうございます。以前、このコミュニティでMicrosoftの担当者と思われる方から返信をいただいたことがあったため、今回も公式な回答を期待して質問しました。

MSRCの情報を参照できたことで、監査担当者へ「Microsoftによる将来のアップデートで対応される」と説明できるので、大変助かりました。Tenableで検出された項目について、あとはアップデートを待つだけであることを関係者に伝えられます。

おおば

ゆうと

現在のMicrosoftの従業員の多くは契約社員です。私が過去にMVPとして活動していた頃（2007-2012年）に交流のあったプロダクトマネージャーも、最初は契約社員でした。

フォーラムで得られる回答の質は、回答者の経験によって大きく異なります。今回のあなたの質問は、私が40年以上にわたりネットワーク管理とセキュリティの専門家として携わってきた分野に合致していました。私の仕事の一部は、まさに脆弱性スキャンの管理と修正の優先順位付けでした。

そのため、単なる定型的な回答ではなく、ドキュメントを読んで何が本当に重要かを理解した上でお答えしています。実務経験上、この脆弱性のリスクは極めて低いと判断します。

ゆうと

おおば

なるほど、実務では「チェックリストを埋める」ことが優先され、実践的な判断が後回しにされがちですよね。よく分かります。素晴らしい経歴ですね、ご協力いただき本当にありがとうございました！