Microsoft、2018年8月のセキュリティ更新プログラムを公開 ～OSの最大深刻度は“緊急”

2018年8月のセキュリティ更新プログラム

　米Microsoftは8月14日（現地時間）、同社製品を対象とした月例セキュリティ更新プログラムを公開した。現在、“Windows Update”や“Microsoft Update Catalog”から入手できる。

　今回のアップデートは、以下の製品が対象。先月のアップデートで不具合が発見され、配信が停止されていた「.NET Framework」関連の修正プログラムも含まれている。

• Internet Explorer
• Microsoft Edge
• Microsoft Windows
• Microsoft Office and Microsoft Office Services and Web Apps
• ChakraCore
• Adobe Flash Player
• .NET Framework
• Microsoft Exchange Server
• Microsoft SQL Server
• Visual Studio

Windows 10およびWindows Server 2016

　最大深刻度は“緊急”（リモートでコードが実行される）。バージョン 1803/1709では“Spectre Variant 2”脆弱性への対策を含んだAMDマイクロコードアップデートをインストールするとCPU使用率が上昇し、システムのパフォーマンスが低下する問題も修正された。

• Windows 10 v1803：KB4343909
• Windows 10 v1709：KB4343897
• Windows 10 v1703：KB4343885
• Windows Server 2016：KB4343887

　なお、Intel製CPUで発見された脆弱性“L1 Terminal Fault（L1TF）”に対する保護も追加されている。ただし、クライアントOSでは無効化されているとのこと。

Windows 8.1 および Windows Server 2012 R2

　最大深刻度は“緊急”（リモートでコードが実行される）。“L1TF”脆弱性への対策も実施されている。

• マンスリー ロールアップ：KB4343898
• セキュリティのみ：KB4343888

　なお、Windows RT 8.1の更新プログラムは“Microsoft Update Catalog”で提供されていない。“Windows Update”からのみ入手できる。

Windows Server 2012

　最大深刻度は“緊急”（リモートでコードが実行される）。

• マンスリー ロールアップ：KB4343901
• セキュリティのみ：KB4343896

　“L1TF”脆弱性への対策に加え、32bit版OSで“Lazy Floating Point (FP) State Restore”脆弱性に対する保護が提供されている。

Windows 7 および Windows Server 2008 R2

　最大深刻度は“緊急”（リモートでコードが実行される）。“L1TF”脆弱性と“Lazy FP State Restore”脆弱性に対する保護が導入された。

• マンスリー ロールアップ：KB4343900
• セキュリティのみ：KB4343899

　また、“Spectre Variant 2”脆弱性対策のAMDマイクロコードアップデートをインストールするとシステムのパフォーマンスが低下する問題も修正されている。

Windows Server 2008

　最大深刻度は“緊急”（リモートでコードが実行される）。Windows Server 2008の更新プログラムは累積的更新として提供されておらず、問題ごと個別にパッチが提供される。

• Windows Server 2008、Windows Embedded POSReady 2009 では、Windows 埋め込まれた標準的な 2009 でリモートでコード実行の脆弱性のセキュリティ更新プログラムの説明: 2018 年 8 月 14日
• Windows Server 2008、Windows Embedded POSReady 2009 では、Windows 埋め込まれた標準的な 2009 のフォント ライブラリの脆弱性のセキュリティ更新プログラムの説明: 2018 年 8 月 14日
• Windows Server 2008 のリモートでコード実行の脆弱性のセキュリティ更新プログラムの説明: 2018 年 8 月 14日
• Windows カーネルの情報漏えいの脆弱性では、Windows Server 2008 のセキュリティ更新プログラムの説明: 2018 年 8 月 14日
• Windows Server 2008、Windows Embedded POSReady 2009 では、Windows 埋め込まれた標準的な 2009 の GDI の脆弱性に対するセキュリティ更新プログラムの説明: 2018 年 8 月 14日
• Windows Server 2008 で L1TF バリアントの脆弱性に対するセキュリティ更新プログラムの説明: 2018 年 8 月 14日

　なお、Windows Server 2008のアップデートは9月から“ロールアップ”方式となる予定。サーバーの管理者は早めの備えておく必要があるだろう。

Microsoft Edge、Internet Explorer、ChakraCore

　最大深刻度は“緊急”（リモートでコードが実行される）。

• Microsoft Edge：16件（緊急10件、重要5件、低1件）
• Internet Explorer 9：5件（緊急3件、重要2件）
• Internet Explorer 10：8件（緊急4件、重要4件）
• Internet Explorer 11：11件（緊急6件、重要5件）

　また、「Internet Explorer」や「Microsoft Edge」で使われているJavaScriptエンジンからWindows固有の機能を削除したオープンソースライブラリ「ChakraCore」では9件の脆弱性が修正された。深刻度はすべて“緊急”となっている。

Microsoft Office、Microsoft Office ServersおよびWeb Apps

　「Microsoft Office」では23のセキュリティ修正と23の非セキュリティ修正が実施された。最大深刻度は“重要”（リモートでコードが実行される）。

• August 2018 Office Update Release - Office Updates

Microsoft SharePoint

　「Microsoft SharePoint」に関連する脆弱性の修正は1件。最大深刻度は“重要”（情報漏洩）。

• CVE-2018-8378（重要：情報漏洩）

Microsoft Exchange Server

　「Microsoft Exchange Server」シリーズでは1件ないし2件の脆弱性が修正されている。最大深刻度は“緊急”（リモートでコードが実行される）。

• CVE-2018-8302（緊急：リモートでコードが実行される）
• CVE-2018-8374（警告：Tampering）

Microsoft .NET Framework

　最大深刻度は“重要”（情報漏洩）。詳細は公式ブログを参照のこと。

• August 2018 .NET Framework Security and Quality Rollup .NET Blog

Microsoft Visual Studio

　「Microsoft Visual Studio」シリーズでは、1件の脆弱性が修正された。

• CVE-2018-0952（重要：特権の昇格）

　また、同日付けで最新版の「Microsoft Visual Studio 2017」v15.8がリリースされている。

Microsoft SQL Server

　「Microsoft SQL Server」シリーズでは、1件の脆弱性が修正された。

• CVE-2018-8273（緊急：リモートでコードが実行される）

Adobe Flash Player

　「Adobe Flash Player」の修正は、以下の記事を参照のこと。

• 「Adobe Flash Player 30」の月例セキュリティアップデートが公開 ～互換性問題も修正 - 窓の杜