Microsoft、2020年8月の更新を発表 ～2件のゼロデイ脆弱性

2020年8月のセキュリティ更新プログラム

　米Microsoftは8月11日（現地時間）、同社製品を対象とした月例セキュリティ更新プログラムを公開した。現在、“Windows Update”や“Microsoft Update Catalog”から入手可能。今回のアップデートは、以下の製品が対象となっている。

• Microsoft Windows
• Microsoft Edge（EdgeHTML-based）
• Microsoft Edge（Chromium-based）
• Microsoft ChakraCore
• Internet Explorer
• Microsoft Scripting Engine
• SQL Server
• Microsoft JET Database Engine
• .NET Framework
• ASP.NET Core
• Microsoft Office and Microsoft Office Services and Web Apps
• Microsoft Windows Codecs Library
• Microsoft Dynamics

　なかでも“CVE-2020-1464”と“CVE-2020-1380”に関してはすでに攻撃への悪用が確認されているゼロデイ脆弱性となっているので注意。

　“CVE-2020-1464”はファイル署名の検証不備により、なりすましが可能になるというもの。OSのセキュリティ機能を迂回して、不正な署名が施されたファイルを読み込ませることができてしまうという。脆弱性の深刻度は“Important”と評価されている。

　一方、“CVE-2020-1380”は「Internet Explorer」のスクリプトエンジンでオブジェクトの処理に問題があり、メモリ破壊が起こるというもの。細工が施されたコンテンツを「Internet Explorer」で開くと、現在のユーザーのコンテキストで任意コードの実行が可能となる。脆弱性の深刻度はクライアントOSで“Critical”。よりセキュリティの厳しいサーバーOSへの影響は軽微で、“Moderate”と評価されている。

Windows 10およびWindows Server 2016/2019、Microsoft Edge

　最大深刻度は“緊急”（リモートでコードが実行される）。セキュリティ問題以外にも、“C”リリース（参考記事1、
参考記事2）でテストされていた修正が盛り込まれている。

　また、「May 2020 Update」に関連する問題もいくつか解決された。“記憶域スペース”の問題が解決され、間もなくセーフガードホールドが解除されるほか、Intel iGPUの可変リフレッシュレート（VRR）問題、複数のBluetoothデバイスに接続またはペアリングできない問題などが解消される。「Windows 10 May 2020 Update」に関連する不具合のまとめも参照のこと。

• Windows 10 バージョン 2004：KB4566782
• Windows 10 バージョン 1909：KB4565351
• Windows 10 バージョン 1903：KB4565351
• Windows 10 バージョン 1809：KB4565349
• Windows Server 2019：KB4565349
• Windows Server 2016：KB4571694

　なお、“バージョン 1909”と“バージョン 1903”の更新プログラムの内容は同一（参考記事）。また、新型コロナウイルス感染症（COVID-19）の影響を考慮し、一部のバージョンでサポート期間が延長されている。

• Windows 10 バージョン 1809（Home/Proなど）：5月12日→11月10日
• Windows 10 バージョン 1709（Enterprise/Educationなど）：5月14日→10月13日

Windows 8.1、Windows RT 8.1およびWindows Server 2012/2012 R2

　最大深刻度は“緊急”（リモートでコードが実行される）。

• Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ：KB4571703
• Windows 8.1/Windows Server 2012 R2 セキュリティのみ：KB4571723
• Windows Server 2012 マンスリー ロールアップ：KB4571736
• Windows Server 2012 セキュリティのみ：KB4571702

　企業向けの有償延長サポート“拡張セキュリティ更新プログラム（ESU）”に加入している顧客にはWindows 7とWindows Server 2008/2008 R2向けのパッチも提供される。

Internet Explorer/Microsoft Edge

　「Internet Explorer 11」では、上述の“CVE-2020-1380”を含む3件の脆弱性が修正された。最大深刻度は“緊急”（リモートでコードが実行される）。

• Cumulative security update for Internet Explorer: August 11, 2020

　一方、「EdgeHTML」ベースの古い「Microsoft Edge」では、3件の脆弱性が修正されている。

• CVE-2020-1555（緊急：リモートでコードが実行される）
• CVE-2020-1568（緊急：リモートでコードが実行される）
• CVE-2020-1569（重要：リモートでコードが実行される）

　「Chromium」ベースの新しい「Microsoft Edge」は、“パッチチューズデー”とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間8月11日にリリースされたv84.0.522.59。

• 「Microsoft Edge 84」に5件の脆弱性、修正版のv84.0.522.49が公開 - 窓の杜

Microsoft Office関連のソフトウェア

　最大深刻度は“緊急”（リモートでコードが実行される）。詳細は以下のドキュメントを参照のこと。

• Release notes for Microsoft Office Security Updates - Office release notes - Microsoft Docs
• August 2020 updates for Microsoft Office

　なお、「Office 2016 for Mac」および「Office 2010」のサポートは今年10月13日までだ。できるだけ早い最新版への移行が望ましい。

.NET関連

　.NET Frameworkと.NET Coreに関連するセキュリティ修正は、OSとは別に配信される。詳細は公式ブログを参照のこと。

• .NET Framework August 2020 Security and Quality Rollup Updates - .NET Blog
• .NET Core August 2020 Updates ・ 2.1.21 and 3.1.7 - .NET Blog

そのほかの製品

　そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。

• Microsoft ChakraCore：1件（緊急：1件）
• SQL Server Management Studio 18.6：1件（重要：1件）
• Microsoft Dynamics 365：1件（重要：1件）