ニュース
64bit版OSに“MDS”脆弱性の緩和策 ~Microsoft、2019年5月のセキュリティ更新を公開
“WER”のゼロデイ脆弱性やリモートデスクトップサービスの脆弱性にも注意
2019年5月15日 14:20
米Microsoftは5月14日(現地時間)、同社製品を対象とした月例セキュリティ更新プログラムを公開した。現在、“Windows Update”や“Microsoft Update Catalog”から入手可能。今回のアップデートは、以下の製品が対象となっている。
- Adobe Flash Player
- Microsoft Windows
- Internet Explorer
- Microsoft Edge
- Microsoft Office and Microsoft Office Services and Web Apps
- Team Foundation Server
- Visual Studio
- Azure DevOps Server
- SQL Server
- .NET Framework
- .NET Core
- ASP.NET Core
- ChakraCore
- Online Services
- Azure
- NuGet
- Skype for Android
とくにWindowsの“Windows Error Reporting(WER)”のファイル処理に存在する特権昇格の脆弱性“CVE-2019-0863”はすでに悪用が確認されており、注意が必要だ。最悪の場合、カーネルモードで任意のコードを実行する可能性がある。
Windows 10およびWindows Server 2016/2019
最大深刻度は“緊急”(リモートでコードが実行される)。64bit版OSで投機的実行サイドチャネルの脆弱性“Microarchitectural Data Sampling(MDS)”の緩和策が導入されたほか、「Windows 10 バージョン 1809」ではペナルティほぼなしで“Specter Variant 2”を緩和できる“Retpoline”がデフォルトで有効化される。
- Windows 10 バージョン 1903:Windows 10 Insider Preview Build 18362.113
- Windows 10 バージョン 1809:KB4494441
- Windows 10 バージョン 1803:KB4499167
- Windows Server 2019:KB4494441
- Windows Server 2016:KB4494440
なお、「MS P ゴシック」「MS UI ゴシック」を使ったExcelシートのレイアウトが狂う問題も修正されているとのこと。
また、既知の不具合として「Windows 10 バージョン 1809」の更新プログラム「KB4494441」が2度インストールされる事象が報告されているので注意したい。同社は現在、原因を調査中だ。
Windows 7/8.1、Windows RT 8.1およびWindows Server 2008/2008 R2/2012/2012 R2
最大深刻度は“緊急”(リモートでコードが実行される)。Windows 10と同様、64bit版OSで“MDS”脆弱性の緩和策が導入されている(「Windows Server 2008」を除く)。リモートデスクトップサービスにおけるコード実行の脆弱性や、「Windows Server 2008 SP2」に対してSHA-2コード署名をサポートするセキュリティ更新プログラムがリリースされている点にも注意したい。
- Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ:KB4499151
- Windows 8.1/Windows Server 2012 R2 セキュリティのみ:KB4499165
- Windows Server 2012 マンスリー ロールアップ:KB4499171
- Windows Server 2012 セキュリティのみ:KB4499158
- Windows 7/Server 2008 R2 マンスリー ロールアップ:KB4499164
- Windows 7/Server 2008 R2 セキュリティのみ:KB4499175
- Windows Server 2008 マンスリー ロールアップ:KB4499149
- Windows Server 2008 セキュリティのみ:KB4499180
なお、一部セキュリティ製品を導入したWindows 7/8.1環境に4月のパッチを適用するとシステムが応答不能になる問題はすべて解決されたとのこと。
Microsoft Edge、Internet Explorer、ChakraCore
最大深刻度は“緊急”(リモートでコードが実行される)。
- Microsoft Edge:18件(緊急16件、重要2件)
- Internet Explorer 11:8件(緊急5件、重要3件)
- Internet Explorer 10:6件(緊急4件、重要2件)
- Internet Explorer 9:4件(緊急2件、重要2件)
また、「ChakraCore」では13件の脆弱性が修正された。深刻度の内訳はいずれも“緊急”。
Microsoft Office、Microsoft Office ServersおよびWeb Apps
最大深刻度は“緊急”(リモートでコードが実行される)。「Word」で“CVE-2019-0953”が、「Office Suite」で“CVE-2019-0945”と“CVE-2019-0946”が修正されている。いずれも悪用の報告はない。
また、「SharePoint Server 2019」「SharePoint Enterprise Server 2016」「SharePoint Foundation 2013」「SharePoint Foundation 2010」でも脆弱性の修正が行われている。最大深刻度は“重要”(リモートでコードが実行される)。
Microsoft SQL Server
「Microsoft SQL Server 2017」では、1件の脆弱性が修正された。最大深刻度は“重要”(情報漏洩)。
- CVE-2019-0819(重要:情報漏洩)
Microsoft Dynamics 365
「Microsoft Dynamics CRM 2015」「Microsoft Dynamics 365」では、1件の脆弱性が修正された。
- CVE-2019-1008(重要:セキュリティ機能のバイパス)
Microsoft .NET Framework
「Microsoft .NET Framework」関連では、4件の脆弱性が修正された。最大深刻度は“重要”(サービス拒否)。
- CVE-2019-0820(重要:サービス拒否)
- CVE-2019-0864(重要:サービス拒否)
- CVE-2019-0980(重要:サービス拒否)
- CVE-2019-0981(重要:サービス拒否)
.NET Core と ASP.NET Core
「.NET Core 1.0」「.NET Core 1.1」「.NET Core 2.1」「.NET Core 2.2」では、3件の脆弱性が修正された。
- CVE-2019-0820(重要:サービス拒否)
- CVE-2019-0980(重要:サービス拒否)
- CVE-2019-0981(重要:サービス拒否)
「ASP.NET Core 2.1」「ASP.NET Core 2.2」でも、1件の脆弱性が修正されている。
- CVE-2019-0982(重要:サービス拒否)
Microsoft Visual Studio
「Microsoft Visual Studio 2019 version 16.0」「Microsoft Visual Studio 2017 version 15.9」「Microsoft Visual Studio 2017 version 15.0」「Microsoft Visual Studio 2015 Update 3」では、1件の脆弱性が修正された。
- CVE-2019-0727(重要:特権の昇格)
Azure DevOps Server、Team Foundation Server、Nuget
「Azure DevOps Server 2019」では、3件の脆弱性が修正された。
- CVE-2019-0872(重要:なりすまし)
- CVE-2019-0971(重要:情報漏洩)
- CVE-2019-0979(重要:なりすまし)
一部の脆弱性は旧製品「Team Foundation Server 2015」「Team Foundation Server 2018」にも影響する。
また、「Nuget 5.0.2」でも1件の脆弱性が修正されている。
- CVE-2019-0976(重要:Tampering)
Adobe Flash Player
「Adobe Flash Player」で修正された脆弱性に関しては、下記リンクを参照のこと。