ニュース
Microsoft、2019年9月更新を発表 ~VB6/VBA/VBScript問題やWindows検索の高負荷問題を解決
CPUのサイドチャネル脆弱性“MDS”対策が32bit版Windowsにも導入される
2019年9月11日 12:00
米Microsoftは9月10日(現地時間)、同社製品を対象とした月例セキュリティ更新プログラムを公開した。現在、“Windows Update”や“Microsoft Update Catalog”から入手可能。今回のアップデートは、以下の製品が対象となっている。
- Internet Explorer
- Microsoft Edge (EdgeHTML-based)
- Microsoft Windows
- Microsoft Office、Microsoft Office Servers および Web Apps
- Adobe Flash Player
- ChakraCore
- Microsoft Lync
- Visual Studio
- Microsoft Exchange Server
- .NET Framework
- Microsoft Yammer
- .NET Core
- ASP.NET
- Team Foundation Server
- Project Rome
なお、2019年8月リリースのWindows向け月例セキュリティ更新プログラムを適用すると、VB6/VBA/VBScriptでエラーが発生する問題は先月末にリリースされたオプションパッチで解決されており、今回の定例パッチにもその内容が含まれている。
「Windows 10 May 2019 Update(バージョン 1903)」向けのオプションパッチ「KB4512941」ではごく少数の環境で「SearchUI.EXE」プロセスのCPU使用率が異常に高くなる問題が発生していたが、これも今回のパッチで解決されているという。
Windows 10およびWindows Server 2016/2019
最大深刻度は“緊急”(リモートでコードが実行される)。CPUの投機的実行機能をターゲットにしたサイドチャネル脆弱性“Microarchitectural Data Sampling(MDS)”に対する保護が、32bit(x86)版にも導入されている。
Windows 7/8.1、Windows RT 8.1およびWindows Server 2008/2008 R2/2012/2012 R2
最大深刻度は“緊急”(リモートでコードが実行される)。これらのバージョンでも32bit版に対する“MDS”対策が追加された。
- Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ:KB4516067
- Windows 8.1/Windows Server 2012 R2 セキュリティのみ:KB4516064
- Windows Server 2012 マンスリー ロールアップ:KB4516055
- Windows Server 2012 セキュリティのみ:KB4516062
- Windows 7/Server 2008 R2 マンスリー ロールアップ:KB4516065
- Windows 7/Server 2008 R2 セキュリティのみ:KB4516033
- Windows Server 2008 マンスリー ロールアップ:KB4516026
- Windows Server 2008 セキュリティのみ:KB4516051
Microsoft Edge、Internet Explorer、ChakraCore
最大深刻度は“緊急”(リモートでコードが実行される)。
- Microsoft Edge:7件(緊急5件、重要2件)
- Internet Explorer 11:4件(緊急3件、重要1件)
- Internet Explorer 10:3件(緊急2件、重要1件)
- Internet Explorer 9:3件(緊急2件、重要1件)
また、「ChakraCore」では5件の脆弱性が修正された。深刻度の内訳はいずれも“緊急”。
Microsoft Office、Microsoft Office ServersおよびWeb Apps、SharePoint
最大深刻度は“重要”(リモートでコードが実行される)。詳細は以下のサポートドキュメントを参照のこと。
Microsoft SharePoint
「Microsoft SharePoint」関連では、7件の脆弱性が修正された。
- CVE-2019-1257(緊急:リモートでコードが実行される)
- CVE-2019-1295(緊急:リモートでコードが実行される)
- CVE-2019-1296(緊急:リモートでコードが実行される)
- CVE-2019-1260(重要:特権の昇格)
- CVE-2019-1261(重要:なりすまし)
- CVE-2019-1262(重要:なりすまし)
- CVE-2019-1259(警告:なりすまし)
Microsoft Exchange Server
「Microsoft Exchange Server」関連で修正された脆弱性は、2件。深刻度はいずれも“重要”となっている。
- CVE-2019-1233(重要:サービス拒否)
- CVE-2019-1266(重要:なりすまし)
.NET Framework
「Microsoft .NET Framework」関連では、1件の脆弱性が修正された。詳細は公式ブログ“.NET Blog”を参照のこと。
- CVE-2019-1142(重要:特権の昇格)
.NET Core と ASP.NET Core
「.NET Core」では、1件の脆弱性が修正された。
- CVE-2019-1301(重要:サービス拒否)
「ASP.NET Core」でも1件の脆弱性が修正されている。
- CVE-2019-1302(重要:特権の昇格)
Visual Studio
「Microsoft Visual Studio」関連では、1件の脆弱性が修正された。「Visual Studio 2015」や「Visual Studio 2017」、「Visual Studio 2019」に影響する。
- CVE-2019-1232(重要:特権の昇格)
Team Foundation Server と Azure DevOps Server 2019
「Azure DevOps Server 2019.0.1」では、2件の脆弱性が修正された。
- CVE-2019-1306(緊急:リモートでコードが実行される)
- CVE-2019-1305(重要:なりすまし)
“CVE-2019-1306”は「Azure DevOps Server 2019 Update 1」に、“CVE-2019-1305”は「Team Foundation Server」にも影響する。
Adobe Flash Player
「Adobe Flash Player」の脆弱性については、以下の記事を参照のこと。