ニュース

Microsoft、2018年7月のセキュリティ更新プログラムを公開 ~OSの最大深刻度は“重要”

脆弱性緩和ツール「EMET」は今月末でサポートが終了

2018年7月11日 15:44

2018年7月のセキュリティ更新プログラム

 米Microsoftは7月10日(現地時間)、月例のセキュリティ更新プログラムを公開した。現在、“Windows Update”や“Microsoft Update Catalog”から入手できる。

 今回のアップデートは、以下の製品が対象。

  • Internet Explorer
  • Microsoft Edge
  • Microsoft Windows
  • Microsoft Office and Microsoft Office Services and Web Apps
  • ChakraCore
  • Adobe Flash Player
  • .NET Framework
  • ASP.NET
  • Microsoft Research JavaScript Cryptography Library
  • Skype for Business and Microsoft Lync
  • Visual Studio
  • Microsoft Wireless Display Adapter V2 Software
  • PowerShell Editor Services
  • PowerShell Extension for Visual Studio Code
  • Web Customizations for Active Directory Federation Services

 なお、脆弱性緩和ツール「EMET」は、今月末でサポートが終了となる(本来のサポート終了日は2017年1月27日だったが、18カ月間延長された)。来月以降は、不具合が報告されても更新プログラムが提供されないので注意したい。

Windows 10およびWindows Server 2016(Microsoft Edgeを含む)

 最大深刻度は“重要”(特権の昇格)。特定条件下で誤ったIMEモードが選択される問題や、DNS要求が「Internet Explorer」と「Microsoft Edge」のプロキシ構成を無視する問題なども修正されている。「Microsoft Edge」の最大深刻度は“緊急”(リモートでコードが実行される)。

 さらに「April 2018 Update(バージョン 1803)」では、“ストア”でプレビュー公開されている「Microsoft Edge DevTools」アプリでUWPアプリの“WebView”コンテンツをデバッグできるようになっている。

Windows 8.1 および Windows Server 2012 R2

 最大深刻度は“重要”(特権の昇格)。CPUのサイドチャネル攻撃に対する緩和策が追加されている。

Windows Server 2012

 最大深刻度は“重要”(特権の昇格)。CPUのサイドチャネル攻撃に対する緩和策が追加されている。

Windows 7 および Windows Server 2008 R2

 最大深刻度は“重要”(特権の昇格)。先日発表されたIntel Coreプロセッサーでサイドチャネル攻撃が可能となる脆弱性への対策などが含まれている。

Windows Server 2008

 最大深刻度は“重要”(特権の昇格)。Windows Server 2008の更新プログラムは累積的更新(過去にリリース更新プログラムをすべて含めて配信する形式)やロールアップ(その月の更新プログラムをひとまとめにしたもの)として提供されておらず、問題ごと個別にパッチが提供される。

 なお、Windows Server 2008のアップデートは9月から“ロールアップ”方式となる予定。サーバーの管理者は早めの備えておく必要があるだろう。

Internet Explorer、ChakraCore

 最大深刻度は“緊急”(リモートでコードが実行される)。

  • Internet Explorer 9:2件(緊急1件、重要1件)
  • Internet Explorer 10:3件(緊急1件、重要2件)
  • Internet Explorer 11:6件(緊急4件、重要2件)

 また、「Internet Explorer」や「Microsoft Edge」で使われているJavaScriptエンジンからWindows固有の機能を削除したオープンソースライブラリ「ChakraCore」では12件の脆弱性が修正された。深刻度の内訳は“緊急”が10件、“重要”が2件となっている。

Microsoft Office、Microsoft Office ServersおよびWeb Apps

 「Microsoft Office」では17のセキュリティ修正と22の非セキュリティ修正が実施された。最大深刻度は“重要”(リモートでコードが実行される)。

Microsoft SharePoint

 「Microsoft SharePoint」に関連する脆弱性修正は3件。最大深刻度は“重要”(リモートでコードが実行される)。

Skype for Business、Microsoft Lync

 「Skype for Business 2016」「Microsoft Lync 2013 Service Pack 1」では、2件の脆弱性が修正された。最大深刻度は“重要”(リモートでコードが実行される)。

  • CVE-2018-8238(重要:セキュリティ機能の
    バイパス)
  • CVE-2018-8311(重要:リモートでコードが実行される)

.NET、.NET Core、ASP.NET、ASP.NET Core

 最大深刻度は“重要”(リモートでコードが実行される)。詳細は公式ブログを参照のこと。

 「.NET Framework 4.7.2」が“Windows Update”と“WSUS”、“Microsoft Update Catalog”から入手できるようになったことや、改元・新元号に備えた変更が行われていることも押さえておきたい。

Microsoft Visual Studio

 最大深刻度は“重要”(リモートでコードが実行される)。「Microsoft Visual Studio 2010」から「Microsoft Visual Studio 2015」では1件、「Microsoft Visual Studio 2017」では2件の脆弱性が修正されている。

Microsoft Research JavaScript Cryptography ライブラリ

 「MSR JavaScript Cryptography Library」は、クラウドサービスでの利用を目的としたJavaScript暗号アルゴリズムの実装。現在開発中のライブラリで、1件の脆弱性が修正されている。

  • CVE-2018-8319(重要:セキュリティ機能のバイパス)

PowerShell Editor Services、「Visual Studio Code」用 PowerShell 拡張機能

 深刻度“緊急”の脆弱性が1件修正された。

  • CVE-2018-8327(緊急:リモートでコードが実行される)

Web Customizations for Active Directory Federation Services

 「Web Customizations for Active Directory Federation Services」では、1件の脆弱性が修正された。

Adobe Flash Player

 「Adobe Flash Player」の修正は、以下の記事を参照のこと。