Microsoft、6月の月例セキュリティアップデートを公開、“Spectre V4”緩和策を導入

2018年6月のセキュリティ更新プログラム

　米Microsoftは12日（現地時間、以下同）、2018年6月のセキュリティ更新プログラムを公開した。現在、“Windows Update”や“Microsoft Update Catalog”から入手できる。

　今回のアップデートは、以下の製品が対象。なお、「Adobe Flash Player」に関しては米国時間7日に定例外で先行リリースされている。

• Internet Explorer
• Microsoft Edge
• Microsoft Windows
• Microsoft Office、Microsoft Office Servers および Web Apps
• ChakraCore
• Adobe Flash Player

Windows 10およびWindows Server 2016（Microsoft Edge を含む）

　最大深刻度は“緊急”（リモートでコードが実行される）。“Spectre”脆弱性の新しい亜種の1つである“Spectre Variant 4”（CVE-2018-3639）のIntelプロセッサー向け緩和策が追加されたほか、AMDプロセッサー向けにも“Spectre Variant 2”（CVE-2017-5715）の緩和策が導入された。

　また、「April 2018 Update（バージョン 1803）」に対する累積的更新プログラムには、Intelおよび東芝製SSDの一部モデルとの互換性問題に関する修正も含まれている。

• Windows Server 2016：KB4284880
• Windows 10 version 1803：KB4284835
• Windows 10 version 1709：KB4284819
• Windows 10 version 1703：KB4284874

　そのほかにも、「Microsoft Edge」と「Internet Explorer」で“SameSite Cookie”がサポートされた。これはクロスサイトリクエストフォージェリ（CSRF）攻撃や情報漏洩のリスクを軽減するためのWeb標準仕様で、「Google Chrome 51」や「Firefox 60」でもサポートされている。

Windows 8.1、Windows RT 8.1およびWindows Server 2012 R2

　最大深刻度は“緊急”（リモートでコードが実行される）。Windows RT 8.1の更新プログラムは“Microsoft Update Catalog”で提供されておらず、“Windows Update”からのみ入手できる。

• マンスリー ロールアップ：KB4284815
• セキュリティのみ：KB4284878

Windows Server 2012

　最大深刻度は“緊急”（リモートでコードが実行される）。

• マンスリー ロールアップ：KB4284855
• セキュリティのみ：KB4284846

Windows 7 SP1 and Windows Server 2008 R2 SP1

　最大深刻度は“緊急”（リモートでコードが実行される）。なお、「Windows 7」のサポート期間は残り1年半ほどとなっている。早めに移行計画を立てることをお勧めする。

• マンスリー ロールアップ：KB4284826
• セキュリティのみ：KB4284867

Windows Server 2008

　最大深刻度は“緊急”（リモートでコードが実行される）。Windows Server 2008の更新プログラムは累積的更新（過去にリリース更新プログラムをすべて含めて配信する形式）やロールアップ（その月の更新プログラムをひとまとめにしたもの）として提供されておらず、問題ごと個別にパッチが提供される。

• Windows カーネルの情報漏えいの脆弱性では、Windows Server 2008 のセキュリティ更新プログラムの説明: 2018 年 6 月 12日
• Windows Server 2008 の脆弱性に対するセキュリティ更新プログラムの説明: 2018 年 6 月 12日
• HIDParser 昇格特権で Windows Server 2008、Windows Embedded POSReady 2009 では、Windows 埋め込まれた標準的な 2009 の脆弱性のセキュリティ更新プログラムの説明: 2018 年 6 月

Internet Explorer

　最大深刻度は“緊急”（リモートでコードが実行される）。

• Internet Explorer 9：2件（緊急1件、重要1件）
• Internet Explorer 10：2件（緊急1件、重要1件）
• Internet Explorer 11：4件（緊急2件、重要2件）

　また、「Internet Explorer」や「Microsoft Edge」で使われているJavaScriptエンジンからWindows固有の機能を削除したオープンソースライブラリ「ChakraCore」では3件の脆弱性が修正された。深刻度の内訳は“緊急”が2件、“重要”が1件となっている。

Microsoft Office、Microsoft Office ServersおよびWeb Apps

　「Microsoft Office」では23のセキュリティ修正と22の非セキュリティ修正が実施された。最大深刻度は“重要”（リモートでコードが実行される）。

• June 2018 Office Update Release - Office Updates

Microsoft SharePoint

　「Microsoft SharePoint Foundation 2013 Service Pack 1」「Microsoft SharePoint Enterprise Server 2016」では、2件の脆弱性が修正された。

• CVE-2018-8252（重要：特権の昇格）
• CVE-2018-8254（重要：特権の昇格）