Microsoft、2018年11月の月例パッチを公開 ～OSの最大深刻度は“緊急”

2018年11月のセキュリティ更新プログラム

　米Microsoftは11月13日（現地時間）、同社製品を対象とした月例セキュリティ更新プログラムを公開した。現在、“Windows Update”や“Microsoft Update Catalog”から入手できる。

　今回のアップデートは、以下の製品が対象。

• Internet Explorer
• Microsoft Edge
• Microsoft Windows
• Microsoft Office and Microsoft Office Services and Web Apps
• ChakraCore
• .NET Core
• Skype for Business
• Azure App Service on Azure Stack
• Team Foundation Server
• Microsoft Dynamics 365 (on-premises) version 8
• PowerShell Core
• Microsoft.PowerShell.Archive 1.2.2.0

Windows 10およびWindows Server 2016/2019

　データ損失の問題により配信が停止されていた「Windows 10 バージョン 1809」「Windows Server 2019」が、本日より再び利用できるようになった。

　最大深刻度は“緊急”（リモートでコードが実行される）。AMD製CPUに対する投機的実行サイドチャネル脆弱性“Spectre V4”の緩和策が導入された。

• Windows 10 v1809：KB4467708
• Windows 10 v1803：KB4467702
• Windows 10 v1709：KB4467686
• Windows Server 2019：KB4467708
• Windows Server 2016：KB4467691

　なお、一部のバージョンでファイルの関連付けが正常に変更できない問題が確認されているが、修正は今月下旬になるとのこと。

Windows 8.1 および Windows Server 2012 R2

　最大深刻度は“緊急”（リモートでコードが実行される）。AMDの15h/16hファミリーでCPUの利用率が上昇し、システムのパフォーマンスが低下する問題が修正された。この問題は、2018年7月の更新プログラムと“Spectre Variant 2”対策のマイクロコードアップデートの組み合わせで発生するという。

• マンスリー ロールアップ：KB4467697
• セキュリティのみ：KB4467703

　なお、Windows RT 8.1の更新プログラムは“Microsoft Update Catalog”で提供されていない。“Windows Update”からのみ入手できる。

Windows Server 2012

　最大深刻度は“緊急”（リモートでコードが実行される）。Windows 8.1/Windows Server 2012 R2と同様、一部のAMD製CPUを搭載した環境でパフォーマンスが低下する問題が解決されている。

• マンスリー ロールアップ：KB4467701
• セキュリティのみ：KB4467678

Windows 7 および Windows Server 2008 R2

　最大深刻度は“緊急”（リモートでコードが実行される）。

• マンスリー ロールアップ：KB4467107
• セキュリティのみ：KB4467106

Windows Server 2008

　最大深刻度は“緊急”（リモートでコードが実行される）。

• マンスリー ロールアップ：KB4467706
• セキュリティのみ：KB4467700

Microsoft Edge、Internet Explorer、ChakraCore

　最大深刻度は“緊急”（リモートでコードが実行される）。

• Microsoft Edge：11件（緊急8件、重要3件）
• Internet Explorer 11：2件（重要2件）
• Internet Explorer 10：1件（重要1件）
• Internet Explorer 9：1件（重要1件）

　また、「Internet Explorer」や「Microsoft Edge」で使われているJavaScriptエンジンからWindows固有の機能を削除したオープンソースライブラリ「ChakraCore」では8件の脆弱性が修正された。深刻度はすべて“緊急”。

Microsoft Office、Microsoft Office ServersおよびWeb Apps

　「Microsoft Office」では29のセキュリティ修正と16の非セキュリティ修正が実施された。最大深刻度は“重要”（リモートでコードが実行される）。

• November 2018 Office Update Release - Office Updates

Skype for Business 2016

　「Skype for Business 2016」では、1件の脆弱性が修正された。

• CVE-2018-8546（低：サービス拒否）

Microsoft Dynamics 365

　「Microsoft Dynamics 365」では、5件の脆弱性が修正された。

• CVE-2018-8609（緊急：リモートでコードが実行される）
• CVE-2018-8605（重要：なりすまし）
• CVE-2018-8606（重要：なりすまし）
• CVE-2018-8607（重要：なりすまし）
• CVE-2018-8608（重要：なりすまし）

.NET Core 2.1

　「.NET Core 2.1」では、1件の脆弱性が修正された。

• CVE-2018-8416（警告：Tampering）

　「.NET Framework」の変更点については、下記リンクを参照のこと。セキュリティ修正ははないが、日付のフォーマットで“元”をサポートするなどの改善が施された。“平成元年”を“平成1年”と解釈できるようになっている。

• .NET Framework November 2018 Security and Quality Rollup

PowerShell Core

　「PowerShell Core 6.0」「PowerShell Core 6.1」では、2件の脆弱性が修正された。

• CVE-2018-8256（重要：リモートでコードが実行される）
• CVE-2018-8415（重要：Tampering）

Microsoft.PowerShell.Archive 1.2.2.0

　「Microsoft.PowerShell.Archive 1.2.2.0」では、1件の脆弱性が修正された。

• CVE-2018-8256（重要：リモートでコードが実行される）

Team Foundation Server

　「Team Foundation Server 2018」「Team Foundation Server 2017」では、1件の脆弱性が修正された。

• CVE-2018-8602（重要：なりすまし）

Azure App Service

　「Azure App Service」では、1件の脆弱性が修正された。

• CVE-2018-8600（重要：なりすまし）

Adobe Flash Player

　「Adobe Flash Player」の修正は、以下の記事を参照のこと。

• Adobe、「Flash Player 31」のセキュリティアップデートを公開 - 窓の杜