Microsoft、2018年12月の月例パッチを公開 ～OSの最大深刻度は“緊急”

2018年12月のセキュリティ更新プログラム

　米Microsoftは12月11日（現地時間）、同社製品を対象とした月例セキュリティ更新プログラムを公開した。現在、“Windows Update”や“Microsoft Update Catalog”から入手できる。

　今回のアップデートは、以下の製品が対象。

• Adobe Flash Player
• Internet Explorer
• Microsoft Edge
• Microsoft Windows
• Microsoft Office、Microsoft Office Servers および Web Apps
• ChakraCore
• .NET Framework
• Microsoft Dynamics NAV
• Microsoft Exchange Server
• Microsoft Visual Studio
• Windows Azure Pack (WAP)

Windows 10およびWindows Server 2016/2019

　最大深刻度は“緊急”（リモートでコードが実行される）。脆弱性の修正のほかにも、「Windows Media Player」で特定のメディアファイルを再生する際にシークバーが利用できなくなる問題が解決された。一部のWindows 10環境で発生していたファイルの関連付けの問題の修正も含まれている。

• Windows 10 v1809：KB4471332
• Windows 10 v1803：KB4471324
• Windows 10 v1709：KB4471329
• Windows Server 2019：KB4471332
• Windows Server 2016：KB4471321

　また、「バージョン 1803」では“Surface Book 2”などの端末でブルースクリーンエラー（BSoD）が発生する問題が修正された。

Windows 7/8.1、Windows RT 8.1およびWindows Server 2008/2008 R2/2012/2012 R2

　最大深刻度は“緊急”（リモートでコードが実行される）。「Windows Media Player」のシークバー問題も修正された。

• Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ：KB4471320
• Windows 8.1/Windows Server 2012 R2 セキュリティのみ：KB4471322
• Windows Server 2012 マンスリー ロールアップ：KB4471330
• Windows Server 2012 セキュリティのみ：KB4471326
• Windows 7/Server 2008 R2 マンスリー ロールアップ：KB4471318
• Windows 7/Server 2008 R2 セキュリティのみ：KB4471328
• Windows Server 2008 マンスリー ロールアップ：KB4471325
• Windows Server 2008 セキュリティのみ：KB4471319
• Windows RT 8.1 マンスリー ロールアップ：KB4471320
• Windows RT 8.1 セキュリティのみ：KB4471322

　なお、Windows RT 8.1の更新プログラムは“Microsoft Update Catalog”で提供されていない。“Windows Update”からのみ入手できる。

Microsoft Edge、Internet Explorer、ChakraCore

　最大深刻度は“緊急”（リモートでコードが実行される）。

• Microsoft Edge：5件（緊急5件）
• Internet Explorer 11：4件（緊急1件、重要3件）
• Internet Explorer 10：4件（緊急1件、重要3件）
• Internet Explorer 9：4件（緊急1件、重要3件）

　また、「Internet Explorer」や「Microsoft Edge」で使われているJavaScriptエンジンからWindows固有の機能を削除したオープンソースライブラリ「ChakraCore」では5件の脆弱性が修正された。深刻度はすべて“緊急”。

Microsoft Office、Microsoft Office ServersおよびWeb Apps

　「Microsoft Office」では25のセキュリティ修正と12の非セキュリティ修正が実施された。最大深刻度は“重要”（リモートでコードが実行される）。

• December 2018 Office Update Release - Office Updates

Microsoft Dynamics NAV

　「Microsoft Dynamics NAV 2017」「Microsoft Dynamics NAV 2016」では、1件の脆弱性が修正された。

• CVE-2018-8651（重要：なりすまし）

Microsoft Exchange Server

　「Microsoft Exchange Server 2016」では、1件の脆弱性が修正された。

• CVE-2018-8604（重要：Tampering）

.NET Framework

　「Microsoft .NET Framework」では、2件の脆弱性が修正された。

• CVE-2018-8540（緊急：リモートでコードが実行される）
• CVE-2018-8517（重要：サービス拒否）

　詳しくは公式ブログを参照のこと。

• .NET Framework December 2018 Security and Quality Rollup

Microsoft Visual Studio

　「Microsoft Visual Studio 2017 version 15.9」「Microsoft Visual Studio 2017」「Microsoft Visual Studio 2015 Update 3」では、1件の脆弱性が修正された。

• CVE-2018-8599（重要：特権の昇格）

Windows Azure Pack（WAP）

　「Windows Azure Pack Rollup 13.1」では、1件の脆弱性が修正された。

• CVE-2018-8652（重要：リモートでコードが実行される）

Adobe Flash Player

　「Adobe Flash Player」はゼロデイ脆弱性が発見されたため、米国時間5日に定例外でセキュリティアップデートがリリースされた。

• ゼロデイ脆弱性を修正した「Adobe Flash Player 32」が公開 ～攻撃への悪用も確認 - 窓の杜