Microsoft、2019年2月の月例パッチを公開 ～「Internet Explorer」にゼロデイ脆弱性

2019年2月のセキュリティ更新プログラム

　米Microsoftは2月12日（現地時間）、同社製品を対象とした月例セキュリティ更新プログラムを公開した。現在、“Windows Update”や“Microsoft Update Catalog”から入手できる。

　今回のアップデートは、以下の製品が対象。

• Adobe Flash Player
• Internet Explorer
• Microsoft Edge
• Microsoft Windows
• Microsoft Office、Microsoft Office Servers および Web Apps
• ChakraCore
• .NET Framework
• Microsoft Exchange Server
• Microsoft Visual Studio
• Azure IoT SDK
• Microsoft Dynamics
• Team Foundation Server
• Visual Studio Code

Windows 10およびWindows Server 2016/2019

　最大深刻度は“緊急”（リモートでコードが実行される）。

• Windows 10 v1809：KB4487044
• Windows 10 v1803：KB4487017
• Windows 10 v1709：KB4486996
• Windows Server 2019：KB4487044
• Windows Server 2016：KB4487026

　なお、既知の問題として元号を含むDateTime型を省略形でパースできない不具合がある。この問題はレジストリの編集で回避が可能。また、依然としてメインメモリが8GB以下のLenovo製ラップトップで「Windows Server 2016」が起動しない不具合が残っているようだが、セキュアブートを無効化することで問題を回避できるとのこと。

Windows 7/8.1、Windows RT 8.1およびWindows Server 2008/2008 R2/2012/2012 R2

　最大深刻度は“緊急”（リモートでコードが実行される）。Windows 7/Windows Server 2008 R2の一部環境でネットワークインターフェイスコントローラーが動作を停止する問題の修正も含まれる。

• Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ：KB4487000
• Windows 8.1/Windows Server 2012 R2 セキュリティのみ：KB4487028
• Windows Server 2012 マンスリー ロールアップ：KB4487025
• Windows Server 2012 セキュリティのみ：
  KB4486993
• Windows 7/Server 2008 R2 マンスリー ロールアップ：KB4486563
• Windows 7/Server 2008 R2 セキュリティのみ：KB4486564
• Windows Server 2008 マンスリー ロールアップ：KB4487023
• Windows Server 2008 セキュリティのみ：
  KB4487019

　なお、一部のAMD製CPUを搭載した環境で仮想マシンの復元に失敗する問題が報告されているが、ホストを再起動する前に仮想マシンをシャットダウンすることで問題を回避できるとのこと。同社は2月中旬を目途に解決策を提供するとしている。

Microsoft Edge、Internet Explorer、ChakraCore

　最大深刻度は“緊急”（リモートでコードが実行される）。なかでも「Internet Explorer」で修正された情報漏えいの脆弱性（CVE-2019-0676）はすでに悪用された事例が確認されており、注意を要する。

• Microsoft Edge：21件（緊急14件、重要5件、警告2）
• Internet Explorer 11：3件（緊急1件、重要2件）
• Internet Explorer 10：2件（重要2件）
• Internet Explorer 9：1件（重要1件）

　また、「ChakraCore」では14件の脆弱性が修正された。深刻度の内訳は“緊急”が11件、“重要”が3件。

Microsoft Office、Microsoft Office ServersおよびWeb Apps

　「Microsoft Office」では19のセキュリティ修正と28の非セキュリティ修正が実施された。最大深刻度は“重要”（リモートでコードが実行される）。

• February 2019 Office Update Release - Office Updates

　また、1月の月例パッチが原因で「Excel 2010」「Access 2010」が動作不能になる問題の修正も含まれている。

Microsoft SharePoint

　「Microsoft SharePoint」に関連する脆弱性は、全部で3件。最大深刻度は“緊急”（リモートでコードが実行される）。

• CVE-2019-0594（緊急：リモートでコードが実行される）
• CVE-2019-0604（緊急：リモートでコードが実行される）
• CVE-2019-0670（警告：なりすまし）

.NET Framework

　「Microsoft .NET Framework」では、2件の脆弱性が修正された。最大深刻度は“緊急”（リモートでコードが実行される）。

• CVE-2019-0613（重要：リモートでコードが実行される）
• CVE-2019-0657（重要：なりすまし）

Visual Studio

　「Microsoft Visual Studio 2017」では、2件の脆弱性が修正された。

• CVE-2019-0613（重要：リモートでコードが実行される）
• CVE-2019-0657（重要：なりすまし）

Visual Studio Code

　「Visual Studio Code」では、1件の脆弱性が修正された。

• CVE-2019-0728（重要：リモートでコードが実行される）

Microsoft Exchange Server

　「Microsoft Exchange Server」では、4件の脆弱性が修正された。ゼロデイ脆弱性“PrivExchange”への対策も含まれている。

• CVE-2019-0686（重要：特権の昇格）
• CVE-2019-0724（重要：特権の昇格）
• ADV190004（不明）
• ADV190007（不明：特権の昇格）

Adobe Flash Player

　「Adobe Flash Player」で修正された脆弱性に関しては、下記リンクを参照のこと。

• Adobe、「Flash Player」の月例セキュリティアップデートを公開 - 窓の杜

Team Foundation Server

　「Team Foundation Server 2018 Update 3.2」では、2件の脆弱性が修正された。

• CVE-2019-0742（重要：なりすまし）
• CVE-2019-0743（重要：なりすまし）

　公式ブログでのアナウンスも参照のこと。

• February Security Release: Team Foundation Server 2018 Update 3.2 Patch 1 is available - Microsoft DevOps Blog

Java SDK for Azure IoT

　「Java SDK for Azure IoT」では、2件の脆弱性が修正された。

• CVE-2019-0729（重要：特権の昇格）
• CVE-2019-0741（重要：情報漏洩）