マイクロソフトは、WindowsXPのリモートコード実行の脆弱性にパッチを適用し、メインストリームのサポートから撤退してから5年後に重要なアップデートを行ったところです。ただし、Windows Updateで自動的にインストールされることはありません。マイクロソフトのウェブサイトから手動でダウンロードし、インストールする必要があります。

マイクロソフトのセキュリティ・レスポンス・センターの説明によると、このパッチは、Windows XP、Windows Server 2003、Windows 7、Windows Server 2008のRemote Desktop Servicesにおける「実行可能な」脆弱性を修正するものであるとのことです。

Remote Desktop Protocol (RDP) 自体には、脆弱性はありません。この脆弱性は事前認証であり、ユーザーの操作を必要としません。つまり、この脆弱性は「ワーム化可能」であり、今後この脆弱性を悪用したマルウェアが出現した場合、2017年に世界中に拡散したマルウェア「WannaCry」と同様に、脆弱なコンピュータから脆弱なコンピュータへと伝播していく可能性があることを意味します。

マイクロソフトがメインストリームサポートを終了してから5年以上が経過し、マイクロソフトはwindowsxp（およびwindowsserver2003）用の重要なセキュリティパッチをリリースするという予想外の措置をとりました。それくらい、このバグは大きい。

しかし、一つ大きな問題があります。Windows XPでは、Windows Updateが自動的にインストールされないのです。マイクロソフトのCVE-2019-0708の速報では、こう説明されています。

これらのアップデートは、Microsoft Update Catalogからのみ入手可能です。これらのOSをお使いのお客様は、できるだけ早くアップデートをダウンロードし、インストールすることをお勧めします。

これらのパッチはKB4500331と呼ばれ、マイクロソフトのアップデートカタログサイトで確認することができます。まだWindows XPまたはWindows Server 2003を使用している場合は、すぐにこれらのパッチをダウンロードしてインストールする必要があります。

この不具合は、Windows 10およびWindows 8システムには影響しません。 Windows 7およびWindows Server 2008システムには、Windows Updateを通じてパッチが提供されます。サポートされていないバージョンのWindowsを使用している場合は、これらのパッチを手動でインストールする必要があるだけです。その場合、マイクロソフトはサポートされているWindowsのバージョンにアップグレードすることを推奨します。