ニュース
Windowsにゼロデイ脆弱性が2件 ~Microsoft、2019年4月のセキュリティ更新を公開
一部エディションを除く「Windows 10 バージョン 1709」は今月が最後のアップデート
2019年4月10日 13:13
米Microsoftは4月9日(現地時間)、同社製品を対象とした月例セキュリティ更新プログラムを公開した。現在、“Windows Update”や“Microsoft Update Catalog”から入手可能。今回のアップデートは、以下の製品が対象となっている。
- Adobe Flash Player
- Internet Explorer
- Microsoft Edge
- Microsoft Windows
- Microsoft Office、Microsoft Office Servers および Web Apps
- ChakraCore
- ASP.NET
- Microsoft Exchange Server
- Team Foundation Server
- Azure DevOps Server
- Open Enclave SDK
- Windows Admin Center
とくにWindowsの“Win32k”カーネルコンポーネントで特権昇格が引き起こされる脆弱性“CVE-2019-0803”“CVE-2019-0859”については、すでに悪用が確認されており注意が必要だ。
Windows 10およびWindows Server 2016/2019
最大深刻度は“緊急”(リモートでコードが実行される)。一部エディションを除く「Windows 10 バージョン 1709」はサポート終了を迎えるため、今月が最後のアップデートとなる。
・Windows 10 バージョン 1809:KB4493509
・Windows 10 バージョン 1803:KB4493464
・Windows 10 バージョン 1709:KB4493441
・Windows Server 2019:KB4493509
・Windows Server 2016:KB4493470
Windows 7/8.1、Windows RT 8.1およびWindows Server 2008/2008 R2/2012/2012 R2
最大深刻度は“緊急”(リモートでコードが実行される)。
- Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ:KB4493446
- Windows 8.1/Windows Server 2012 R2 セキュリティのみ:KB4493467
- Windows Server 2012 マンスリー ロールアップ:KB4493451
- Windows Server 2012 セキュリティのみ:KB4493450
- Windows 7/Server 2008 R2 マンスリー ロールアップ:KB4493472
- Windows 7/Server 2008 R2 セキュリティのみ:KB4493448
- Windows Server 2008 マンスリー ロールアップ:KB4493471
- Windows Server 2008 セキュリティのみ:KB4493458
なお、VIA製CPUを搭載した環境に対する“Specter Variant 2”と“Meltdown”の緩和策がWindows 7/8.1で導入されている。この保護機能はクライアントOSで有効化されているが、サーバーOSでは既定で無効化されているので注意。
Microsoft Edge、Internet Explorer、ChakraCore
最大深刻度は“緊急”(リモートでコードが実行される)。
- Microsoft Edge:9件(緊急7件、重要2件)
- Internet Explorer 11:5件(緊急1件、重要4件)
- Internet Explorer 10:5件(緊急1件、重要4件)
- Internet Explorer 9:1件(重要1件)
また、「ChakraCore」では7件の脆弱性が修正された。深刻度の内訳はいずれも“緊急”。
Microsoft Office、Microsoft Office ServersおよびWeb Apps
最大深刻度は“重要”(リモートでコードが実行される)。以下の製品にアップデートが提供されている。
- Microsoft Office 2016
- Microsoft Office 2013
- Microsoft Office 2013 RT
- Microsoft Office 2010
- Microsoft Excel 2016
- Microsoft Excel 2013
- Microsoft Excel 2010
- Microsoft SharePoint Server 2019
- Microsoft SharePoint Server 2010
- Microsoft SharePoint Enterprise Server 2016
- Microsoft SharePoint Enterprise Server 2013
- Microsoft SharePoint Foundation 2013
- Microsoft SharePoint Foundation 2010
Microsoft Exchange Server
「Exchange Server 2019」「Exchange Server 2016」「Exchange Server 2013」では、2件の脆弱性が修正された。
- CVE-2019-0817(重要:なりすまし)
- CVE-2019-0858(重要:なりすまし)
また、「Exchange Server 2010」でも“CVE-2019-0817”が修正されている。
Team Foundation Server、Azure DevOps Server
「Azure DevOps Server 2019」では、9件の脆弱性が修正された。
- CVE-2019-0857(重要:なりすまし)
- CVE-2019-0866(重要:なりすまし)
- CVE-2019-0867(重要:なりすまし)
- CVE-2019-0868(重要:なりすまし)
- CVE-2019-0869(重要:なりすまし)
- CVE-2019-0870(重要:なりすまし)
- CVE-2019-0871(重要:なりすまし)
- CVE-2019-0874(重要:なりすまし)
- CVE-2019-0875(重要:特権の昇格)
ちなみに、「Azure DevOps Server」は「Team Foundation Server」の後継だ。「Azure DevOps Server」で修正された脆弱性の一部は旧バージョンの「Team Foundation Server」にも影響するため、それぞれアップデートが提供されている。
Open Enclave SDK
「Open Enclave SDK」は、C/C++言語でエンクレーブアプリケーションを構築するためのオープンソースプロジェクト。1件の脆弱性が修正されている。
- CVE-2019-0876(重要:情報漏洩)
Adobe Flash Player
「Adobe Flash Player」で修正された脆弱性に関しては、下記リンクを参照のこと。