ニュース
Microsoft、2019年11月更新を発表 ~「Internet Explorer」にゼロデイ脆弱性
「April 2018 Update」のHome/Proエディションはサポート終了
2019年11月13日 16:09
米Microsoftは11月12日(現地時間)、同社製品を対象とした月例セキュリティ更新プログラムを公開した。現在、“Windows Update”や“Microsoft Update Catalog”から入手可能。今回のアップデートは、以下の製品が対象となっている。
- Microsoft Windows
- Internet Explorer
- Microsoft Edge (EdgeHTML-based)
- ChakraCore
- Microsoft Office and Microsoft Office Services and Web Apps
- Open Source Software
- Microsoft Exchange Server
- Visual Studio
- Azure Stack
Windows向けの更新プログラムには、“Intel Processor Machine Check Error”脆弱性(CVE-2018-12207)と、“TSX Asynchronous Abort(TAA)”脆弱性(CVE-2019-11135)に対する緩和策も含まれている。“TAA”は“Microarchitectural Data Sampling(MDS)”に似たCPUの投機的実行機能をターゲットとするサイドチャネル攻撃。「Intel TSX」命令セットをもつ最近のCPUにのみ影響する。
Windows 10およびWindows Server 2016/2019、Microsoft Edge
最大深刻度は“緊急”(リモートでコードが実行される)。“バージョン 1909”と“バージョン 1903”の更新プログラムの内容は同一だ。
- Windows 10 バージョン 1909:KB4524570
- Windows 10 バージョン 1903:KB4524570
- Windows 10 バージョン 1809:KB4523205
- Windows 10 バージョン 1803:KB4525237
- Windows Server 2019:KB4523205
- Windows Server 2016:KB4525236
なお、OSセットアップ時にIMEでローカルユーザーが作成不能になる問題が既知の問題として残されているので注意。
また、「Windows 10 April 2018 Update(バージョン 1803)」の“Home”、“Pro”および“Pro for Workstation”エディションのサポートは今月まで。まだ利用している場合は、後継バージョンへの移行を強くお勧めする。
Windows 7/8.1、Windows RT 8.1およびWindows Server 2008/2008 R2/2012/2012 R2
最大深刻度は“緊急”(リモートでコードが実行される)。
- Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ:KB4525243
- Windows 8.1/Windows Server 2012 R2 セキュリティのみ:KB4525250
- Windows Server 2012 マンスリー ロールアップ:KB4525246
- Windows Server 2012 セキュリティのみ:KB4525253
- Windows 7/Server 2008 R2 マンスリー ロールアップ:KB4525235
- Windows 7/Server 2008 R2 セキュリティのみ:KB4525233
- Windows Server 2008 マンスリー ロールアップ:KB4525234
- Windows Server 2008 セキュリティのみ:KB4525239
Internet Explorer
最大深刻度は“緊急”(リモートでコードが実行される)。
なかでも、リモートからの任意コード実行を招く危険のあるスクリプトエンジンにおけるメモリ破損の脆弱性(CVE-2019-1429)は、すでに悪用が確認されており、警戒が必要だ。
Microsoft Office、Microsoft Office ServersおよびWeb Apps、SharePoint
最大深刻度は“重要”(リモートでコードが実行される)。「Excel」や「ClickToRun」の脆弱性が修正されている。
そのほかにも、Mac版「Office」にもセキュリティアップデートが提供されているので注意。「SharePoint」関連でも以下の2件の脆弱性が修正されている。
- CVE-2019-1442(重要:セキュリティ機能のバイパス)
- CVE-2019-1443(重要:情報漏洩)
そのほかの製品
そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。
- ChakraCore:緊急(リモートでコードが実行される)
- Microsoft Exchange Server:緊急(リモートでコードが実行される)
- Visual Studio:重要(特権の昇格)
- Azure Stack:重要(なりすまし)