ニュース

Microsoft、2018年3月の月例セキュリティ更新を公開～Spectre/Meltdown対策を拡大

Windows、IE、Edge、Office、Exchange、.NET Core、PowerShell Coreなどに修正

樽井秀人

2018年3月14日 14:01

2018年3月のセキュリティ更新プログラム

　米Microsoft Corporationは13日（現地時間、以下同）、2018年3月のセキュリティ更新プログラムを公開した。現在、“Windows Update”や“Microsoft Update Catalog”から入手できる。

　今回のアップデートは、以下の製品が対象となっている。

Internet Explorer
Microsoft Edge
Microsoft Windows
Microsoft Office and Microsoft Office Services and Web Apps
Microsoft Exchange Server
ASP.NET Core
.NET Core
PowerShell Core
ChakraCore
Adobe Flash

　なお、一部のマルウェア対策ソフトとの間で発生していた互換性問題はおおむね解決されたようで、“Windows Update”を介して「Windows 10」搭載デバイスをアップデートする場合は互換性チェックが解除される。これにより、より多くのデバイスが“Spectre”および“Meltdown”の緩和策を含む累積的セキュリティアップデートを受け取れるようになるという。ただし、既知の互換性問題が確認されている場合はこの限りではない。

　また、「Windows 10 バージョン1709（Fall Creators Update）」を対象に“Microsoft Update カタログ”で提供されていた“Spectre”脆弱性対策のファームウェアの対応範囲が拡大され、“Skylake”だけでなく、“Kaby Lake”や“Coffee Lake”といったCPUアーキテクチャーがサポートされた。対応範囲の詳細は“KB4093836”で確認できる。

　さらに、“Meltdown”脆弱性を緩和するセキュリティ更新プログラムの提供範囲が拡大され、32bit版のWindows 7とWindows 8.1が含まれるようになった。詳しくは“KB4073757”を参照のこと。

March 2018 Windows security update - Expanding our efforts to protect customers - Windows Experience BlogWindows Experience Blog

Windows/Microsoft Edge/Internet Explorer

　Windowsの各バージョンで修正された脆弱性は以下の通り。

Windows Server 2016：29件（重要29）
Windows Server 2012 R2：21件（重要21）
Windows Server 2012：21件（重要21）
Windows Server 2008 R2：22件（重要22）
Windows Server 2008：21件（重要21）
Windows 10 Version 1709（64bit）：24件（重要24）、KB4088776
Windows 10 Version 1709（32bit）：25件（重要25）
Windows 10 Version 1703（64bit）：28件（重要28）、KB4088782
Windows 10 Version 1703（32bit）：26件（重要26）
Windows 10 Version 1607（64bit）：29件（重要29）、KB4088787
Windows 10 Version 1607（32bit）：27件（重要27）
Windows RT 8.1：20件（重要20）
Windows 8.1（64bit）：20件（重要20）、KB4088876、KB4088879
Windows 8.1（32bit）：19件（重要19）
Windows 7（64bit）：21件（重要21）、KB4088875、KB4088878
Windows 7（32bit）：20件（重要20）

　Webブラウザーで修正された脆弱性の件数は以下の通り。

Microsoft Edge：16件（緊急12、重要4）
Internet Explorer 11：7件（緊急2、重要5）
Internet Explorer 10：5件（緊急1、重要4）
Internet Explorer 9：4件（緊急1、重要3）

　また、「Internet Explorer」や「Microsoft Edge」で使われているJavaScriptエンジンからWindows固有の機能を削除したオープンソースライブラリ「ChakraCore」では12件の脆弱性が修正された。深刻度の内訳は、緊急が10件、重要が2件。

PowerShell Core

　「PowerShell Core 6.0.0」では、1件の脆弱性が修正されている。

CVE-2018-0875（重要：サービス拒否）

Microsoft Office、Microsoft Office ServersおよびWeb Apps

　「Microsoft Office」関連の修正は、同社のサポートページで確認できる。

第 2018 年 3 月、Microsoft Office 用の更新プログラム

Microsoft Exchange Server 2016 Cumulative Update 8

　「Microsoft Exchange Server 2016」では、3件の脆弱性が修正された。

CVE-2018-0940（重要：特権の昇格）
CVE-2018-0941（重要：情報漏洩）
CVE-2018-0924（低：情報漏洩）

　「Microsoft Exchange Server 2013 Service Pack 1」「Microsoft Exchange Server 2013」「Microsoft Exchange Server 2010」では、2件の脆弱性が修正された。

CVE-2018-0940（重要：特権の昇格）
CVE-2018-0924（低：情報漏洩）

ASP.NET Core 2.0

　「ASP.NET Core 2.0」では、2件の脆弱性が修正された。

CVE-2018-0787（重要：特権の昇格）
CVE-2018-0808（重要：サービス拒否）

.NET Core

　「.NET Core 1.0」「.NET Core 1.1」「.NET Core 2.0」では、1件の脆弱性が修正された。

CVE-2018-0875（重要：サービス拒否）

Adobe Flash Player

　「Adobe Flash Player」では、1件の脆弱性が修正された。詳しくは下記リンクにあるニュース記事を参照のこと。

ADV180006（緊急：リモートでコードが実行される）