Microsoft、2018年4月の月例セキュリティアップデートを公開

2018年4月のセキュリティ更新プログラム

　米Microsoftは10日（現地時間、以下同）、2018年4月のセキュリティ更新プログラムを公開した。現在、“Windows Update”や“Microsoft Update Catalog”から入手できる。

　今回のアップデートは、以下の製品が対象となっている。

• Internet Explorer
• Microsoft Edge
• Microsoft Windows
• Microsoft Office、Microsoft Office Servers および Web Apps
• ChakraCore
• Adobe Flash Player
• Microsoft Malware Protection Engine
• Microsoft Visual Studio
• Microsoft Azure IoT SDK

Windows/Microsoft Edge/Internet Explorer

　Windowsの各バージョンで修正された脆弱性は以下の通り。今春リリースされる予定の「Windows 10 バージョン 1803」に対しても累積的アップデートが提供されている。

• Windows Server 2016：27件（緊急6、重要20、警告1）
• Windows Server 2012 R2：23件（緊急6、重要16、警告1）
• Windows Server 2012：21件（緊急6、重要14、警告1）
• Windows Server 2008 R2：20件（緊急6、重要13、警告1）
• Windows Server 2008：19件（緊急5、重要13、警告1）
• Windows 10 Version 1709（64bit）：28件（緊急6、重要21、警告1）、KB4093112
• Windows 10 Version 1709（32bit）：26件（緊急6、重要19、警告1）
• Windows 10 Version 1703（64bit）：28件（緊急6、重要21、警告1）、KB4093107
• Windows 10 Version 1703（32bit）：26件（緊急6、重要19、警告1）
• Windows 10 Version 1607（64bit）：25件（緊急6、重要18、警告1）、KB4093119
• Windows 10 Version 1607（32bit）：24件（緊急6、重要17、警告1）
• Windows RT 8.1：23件（緊急6、重要16、警告1）
• Windows 8.1（64bit）：23件（緊急6、重要16、警告1）、KB4093114、KB4093115
• Windows 8.1（32bit）：22件（緊急6、重要15、警告1）
• Windows 7：20件（緊急6、重要13、警告1）、KB4093118、KB4093108

　なお、「Windows 10 Version 1607（Anniversary Update）」は同日をもってサポート終了となる（一部エディションを除く）。セキュリティ更新の提供は、基本的に今回が最後となるので注意したい。また、Windows 7の月例ロールアップには3月パッチでWindows 7のネットワーク設定が失われる問題に対する修正も含まれている。

• 「Windows 10 Anniversary Update」のサポートが終了 - 窓の杜

　一方、Webブラウザーで修正された脆弱性の件数は以下の通り。

• Microsoft Edge：10件（緊急8、重要2）
• Internet Explorer 11：12件（緊急8、重要4）
• Internet Explorer 10：9件（緊急6、重要3）
• Internet Explorer 9：9件（緊急6、重要3）

　また、「Internet Explorer」や「Microsoft Edge」で使われているJavaScriptエンジンからWindows固有の機能を削除したオープンソースライブラリ「ChakraCore」では8件の脆弱性が修正された。深刻度はすべて“緊急”となっている。

Microsoft Office、Microsoft Office ServersおよびWeb Apps

　「Microsoft Office」では27のセキュリティ修正と26の非セキュリティ修正が実施された。詳細は同社のサポートページで確認できる。

• April 2018 Office Update Release - Office Updates
• April 2018 updates for Microsoft Office

　なお、今回のアップデートには「Microsoft Office Compatibility Pack Service Pack 3」「Microsoft Excel Viewer 2007 Service Pack 3」のセキュリティ修正も含まれているが、これらの製品は今月で公開が終了する予定だ。

• 「Office 2013」のメインストリームサポートが終了、5年間の延長サポートフェイズに - 窓の杜

Microsoft Visual Studio

　「Microsoft Visual Studio」では、1件の脆弱性が修正された。影響する製品は以下の通り。

• 「Microsoft Visual Studio 2017 Version 15.7 Preview」
• 「Microsoft Visual Studio 2017 Version 15.6.6」
• 「Microsoft Visual Studio 2017」
• 「Microsoft Visual Studio 2015 Update 3」
• 「Microsoft Visual Studio 2013 Update 5」
• 「Microsoft Visual Studio 2012 Update 5」
• 「Microsoft Visual Studio 2010 Service Pack 1」

• CVE-2018-1037（重要：情報漏洩）

　なお、「Microsoft Visual Studio 2008」のサポートは終了した。今後はセキュリティアップデートが提供されないので注意したい。

• 「Microsoft Visual Studio 2008」のサポートが終了 ～無償版「Express Edition」も - 窓の杜

Microsoft Malware Protection Engine

　セキュリティ製品関連では、1件の脆弱性（CVE-2018-0986）が修正された。影響を受ける製品は以下の通り。

• 「Windows Defender」
• 「Microsoft Security Essentials」
• 「Windows Intune Endpoint Protection」
• 「Microsoft System Center Endpoint Protection」
• 「Microsoft System Center 2012 R2 Endpoint Protection」
• 「Microsoft System Center 2012 Endpoint Protection」
• 「Microsoft Forefront Endpoint Protection 2010」
• 「Microsoft Exchange Server 2016」
• 「Microsoft Exchange Server 2013」

　修正プログラムは月例アップデートに先駆けてすでに配信されている。Windows 10環境の「Windows Defender」の場合は、「設定」アプリの［更新とセキュリティ］－［Windows Defender］セクションにある“エンジンのバージョン”欄で「Microsoft Malware Protection Engine」がv1.1.14700.5以降になっていることを確認しよう。

• CVE-2018-0986（緊急：リモートでコードが実行される）

Adobe Flash Player

　「Adobe Flash Player」では、1件の脆弱性が修正された。詳しくは下記リンクにあるニュース記事を参照のこと。

• ADV180007（緊急：リモートでコードが実行される）

Microsoft Wireless Keyboard 850

　「Microsoft Wireless Keyboard 850」では、1件の脆弱性が修正された。

• CVE-2018-8117（重要：セキュリティ機能のバイパス）