Microsoft、2019年1月の月例パッチを公開 ～OSの最大深刻度は“緊急”

2019年1月のセキュリティ更新プログラム

　米Microsoftは1月8日（現地時間）、同社製品を対象とした月例セキュリティ更新プログラムを公開した。現在、“Windows Update”や“Microsoft Update Catalog”から入手できる。

　今回のアップデートは、以下の製品が対象。

• Adobe Flash Player
• Internet Explorer
• Microsoft Edge
• Microsoft Windows
• Microsoft Office、Microsoft Office Servers および Web Apps
• ChakraCore
• .NET Framework
• ASP.NET
• Microsoft Exchange Server
• Microsoft Visual Studio

Windows 10およびWindows Server 2016/2019

　最大深刻度は“緊急”（リモートでコードが実行される）。

• Windows 10 v1809：KB4480116
• Windows 10 v1803：KB4480966
• Windows 10 v1709：KB4480978
• Windows Server 2019：KB4480116
• Windows Server 2016：KB4480961

　なお、既知の問題としてサードパーティー製アプリケーションがホットスポットの認証が行いづらくなる現象が確認されているので注意。また、Windows Server 2016環境では一部のLenovo製ラップトップが起動不能になる問題が報告されている。

Windows 7/8.1、Windows RT 8.1およびWindows Server 2008/2008 R2/2012/2012 R2

　最大深刻度は“重要”（リモートでコードが実行される）。AMDのCPUを搭載した環境向けに“Speculative Store Bypass（CVE-2018-3639）”の緩和策がリリースされている。

• Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ：KB4480963
• Windows 8.1/Windows Server 2012 R2 セキュリティのみ：KB4480964
• Windows Server 2012 マンスリー ロールアップ：KB4480975
• Windows Server 2012 セキュリティのみ：KB4480972
• Windows 7/Server 2008 R2 マンスリー ロールアップ：KB4480970
• Windows 7/Server 2008 R2 セキュリティのみ：KB4480960
• Windows Server 2008 マンスリー ロールアップ：KB4480968
• Windows Server 2008 セキュリティのみ：KB4480957

Microsoft Edge、Internet Explorer、ChakraCore

　最大深刻度は「Microsoft Edge」が“緊急”、「Internet Explorer」が“重要”（リモートでコードが実行される）。

• Microsoft Edge：5件（緊急4件、重要1件）
• Internet Explorer 11：1件（重要1件）
• Internet Explorer 10：1件（重要1件）
• Internet Explorer 9：1件（重要1件）

　また、「ChakraCore」では3件の脆弱性が修正された。深刻度はすべて“緊急”。

Microsoft Office、Microsoft Office ServersおよびWeb Apps

　「Microsoft Office」では25のセキュリティ修正と19の非セキュリティ修正が実施された。最大深刻度は“重要”（リモートでコードが実行される）。

• January 2019 Office Update Release - Office Updates

　なお、「Excel 2010」で起動不能や強制終了の不具合が報告されているので注意。パッチの配信は停止されているはずだが、万が一問題が発生した場合はアンインストールが必要となる。

Microsoft Exchange Server

　「Microsoft Exchange Server 2019」「Microsoft Exchange Server 2016」では、2件の脆弱性が修正された。

• CVE-2019-0586（重要：リモートでコードが実行される）
• CVE-2019-0588（重要：情報漏洩）

　“CVE-2019-0588”は「Microsoft Exchange Server 2013」「Microsoft Exchange Server 2010」にも影響する。

.NET Framework/.NET Core

　「Microsoft .NET Framework」「.NET Core」では、1件の脆弱性が修正された。

• CVE-2019-0545（重要：情報漏洩）

　詳しくは公式ブログを参照のこと。

• .NET Framework January 2019 Security and Quality Rollup
• .NET Core January 2019 Updates - 2.1.7 and 2.2.1

　「.NET Core」は、ARM32向けの「Windows Server, version 1809」で初めて利用できるようになった。

ASP.NET Core

　「ASP.NET Core 2.1」では、2件の脆弱性が修正された。

• CVE-2019-0548（重要：サービス拒否）
• CVE-2019-0564（重要：サービス拒否）

　また、“CVE-2019-0548”は「ASP.NET Core 2.2」にも影響する。

Microsoft Visual Studio

　「Microsoft Visual Studio 2017 version 15.9」「Microsoft Visual Studio 2012 Update 5」「Microsoft Visual Studio 2010 Service Pack 1」では、1件の脆弱性が修正された。

• CVE-2019-0546（警告：リモートでコードが実行される）

Adobe Flash Player

　「Adobe Flash Player」にはセキュリティ上の修正は含まれていないが、パフォーマンスと機能の改善が行われている。詳しくは下記リンクを参照のこと。

• Adobe、今月の月例セキュリティ更新を発表 ～「Flash Player」は脆弱性なし - 窓の杜