ニュース

Microsoft、2021年5月のセキュリティ更新を発表 ~Windowsにリモートコード実行の致命的な脆弱性が3件

法人エディションを除く「Windows 10 バージョン 1909」などがサポート終了

2021年5月のセキュリティ更新プログラム

 米Microsoftは5月11日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー、Bリリース)。現在、「Windows Update」や「Microsoft Update Catalog」から入手可能。以下のMicrosoft製品に対しても、セキュリティアップデートが提供されている。

  • .NET Core & Visual Studio
  • HTTP.sys
  • Internet Explorer
  • Microsoft Accessibility Insights for Web
  • Microsoft Bluetooth Driver
  • Microsoft Dynamics Finance & Operations
  • Microsoft Exchange Server
  • Microsoft Graphics Component
  • Microsoft Office
  • Microsoft Office Access
  • Microsoft Office Excel
  • Microsoft Office SharePoint
  • Microsoft Office Word
  • Microsoft Windows Codecs Library
  • Microsoft Windows IrDA
  • Open Source Software
  • Role: Hyper-V
  • Skype for Business and Microsoft Lync
  • Visual Studio
  • Visual Studio Code
  • Windows Container Isolation FS Filter Driver
  • Windows Container Manager Service
  • Windows Cryptographic Services
  • Windows CSC Service
  • Windows Desktop Bridge
  • Windows OLE
  • Windows Projected File System FS Filter
  • Windows RDP Client
  • Windows SMB
  • Windows SSDP Service
  • Windows WalletService
  • Windows Wireless Networking

 Windowsでは「Hyper-V」におけるリモートコード実行(CVE-2021-28476)、OLEオートメーションにおけるリモートコード実行(CVE-2021-31194)、HTTPプロトコルスタックにおけるリモートコード実行(CVE-2021-31166)がそれぞれ深刻度「緊急」と評価されており、警戒が必要だ。

Windows 10およびWindows Server 2016/2019

 最大深刻度は「緊急」(リモートでコードが実行される)。「Windows 10 バージョン 1909」(法人向けエディションを除く)などがサービス終了となっているので、利用中の場合はできるだけ早いアップグレードをお勧めする。

 なお、「バージョン 2004/20H2」はOSのコアが共通で、「イネーブルメント パッケージ」で機能のみを切り替える仕組みになっている。そのため、更新プログラムの内容は同一だ。

Windows 8.1およびWindows Server 2012/2012 R2

 最大深刻度は「緊急」(リモートでコードが実行される)。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。

  • Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ:KB5003209
  • Windows 8.1/Windows Server 2012 R2 セキュリティのみ:KB5003220
  • Windows Server 2012 マンスリー ロールアップ:KB5003208
  • Windows Server 2012 セキュリティのみ:KB5003203

 なお、企業向けの有償延長サポート「拡張セキュリティ更新プログラム(ESU)」に加入している顧客にはWindows 7とWindows Server 2008/2008 R2向けにもパッチが提供される。

Microsoft Office関連のソフトウェア

 最大深刻度は「重要」(リモートでコードが実行される)。詳細は以下のドキュメントを参照のこと。

Internet Explorer/Microsoft Edge

 「Internet Explorer 9」「Internet Explorer 11」では、1件の脆弱性が修正された。

  • CVE-2021-26419(緊急:リモートでコードが実行される)

 「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間4月29日にリリースされたv90.0.818.51。

Microsoft SharePoint Server

 「Microsoft SharePoint Server」関連では、7件の脆弱性が修正された。最大深刻度は「重要」。

Microsoft Exchange Server

 「Microsoft Exchange Server」関連では、4件の脆弱性が修正された。最大深刻度は「重要」。

 4月のアップデートで既知の問題が発見され、回避策が案内されているほか、新しいセキュリティ機能も追加されている。詳しくは公式ブログを参照のこと。

Skype for Business Server/Microsoft Lync Server

 「Skype for Business Server」「Microsoft Lync Server」関連では、2件の脆弱性が修正された。

そのほかの製品

 そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。

  • Web Media Extensions:1件(重要:1件)
  • Visual Studio Code Remote - Containers Extension:1件(重要:1件)
  • Visual Studio Code:2件(重要:2件)
  • Visual Studio 2019 for Mac version 8.9:1件(重要:1件)
  • Dynamics 365 for Finance and Operations:1件(重要:1件)
  • common_utils.py:1件(重要:1件)
  • .NET Core 3.1:1件(重要:1件)
  • .NET 5.0:1件(重要:1件)