Microsoft、2020年11月の更新を発表 ～「October 2020 Update」に初めての月例パッチ

2020年11月のセキュリティ更新プログラム

　米Microsoftは11月10日（現地時間）、同社製品を対象とした月例セキュリティ更新プログラムを公開した。現在、“Windows Update”や“Microsoft Update Catalog”から入手可能。今回のアップデートは、以下の製品が対象となっている。

• Microsoft Windows
• Microsoft Office and Microsoft Office Services and Web Apps
• Internet Explorer
• Microsoft Edge (EdgeHTML-based)
• Microsoft Edge (Chromium-based)
• ChakraCore
• Microsoft Exchange Server
• Microsoft Dynamics
• Microsoft Windows Codecs Library
• Azure Sphere
• Windows Defender
• Microsoft Teams
• Azure SDK
• Azure DevOps
• Visual Studio

Windows 10およびWindows Server 2016/2019、Microsoft Edge

　最大深刻度は“緊急”（リモートでコードが実行される）。先日リリースされた「Windows 10 October 2020 Update（バージョン 20H2）」にもパッチが提供されている。

　先月のCパッチで“Skype Meet Now”のタスクバー統合がテストされていたが、今回のパッチには盛り込まれていないようだ。リリースノートにはセキュリティ修正とフィジーの夏時間対応のみが記載されている。また、“バージョン 1809”以降では「Windows 10」をアップグレードする際、システム・ユーザー証明書が失われる不具合が確認されているので注意したい。

• Windows 10 バージョン 20H2：KB4586781
• Windows 10 バージョン 2004：KB4586781
• Windows 10 バージョン 1909：KB4586786
• Windows 10 バージョン 1903：KB4586786
• Windows 10 バージョン 1809：KB4586793
• Windows 10 バージョン 1803：KB4586785
• Windows Server 2019：KB4586793
• Windows Server 2016：KB4586830

　なお、「バージョン 1909」と「バージョン 1903」、「バージョン 20H2」と「バージョン 2004」の更新プログラムの内容は同一で、“イネーブルメント パッケージ”で機能のみを切り替える仕組みになっている。

　また、新型コロナウイルス感染症（COVID-19）の影響を考慮し、一部のバージョンでサポート期間が延長されている。「バージョン 1809」向けのパッチ提供は今月が最後だ。

• Windows Server バージョン 1809（Datacenter/Standard）：2020年5月12日→2020年11月10日
• Windows 10 バージョン 1809（Home/Pro/Pro Education/Pro for Workstations/IoT Core）：2020年5月12日→2020年11月10日
• Windows 10 バージョン 1803（Enterprise/Education/IoT Enterprise）：2020年11月10日→2021年5月11日

　来月には「バージョン 1903」のサポート終了も控えている（COVID-19による延期なし）ので、古いバージョンを利用しているユーザーは注意したい。

Windows 8.1、Windows RT 8.1およびWindows Server 2012/2012 R2

　最大深刻度は“緊急”（リモートでコードが実行される）。

• Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ：KB4586845
• Windows 8.1/Windows Server 2012 R2 セキュリティのみ：KB4586823
• Windows Server 2012 マンスリー ロールアップ：KB4586834
• Windows Server 2012 セキュリティのみ：KB4586808

　企業向けの有償延長サポート“拡張セキュリティ更新プログラム（ESU）”に加入している顧客にはWindows 7とWindows Server 2008/2008 R2向けのパッチも提供される。

Microsoft Office関連のソフトウェア

　最大深刻度は“重要”（リモートでコードが実行される）。詳細は以下のドキュメントを参照のこと。

• Release notes for Microsoft Office security updates - Office release notes
• Microsoft Office の2020年11月の更新プログラム

Internet Explorer/Microsoft Edge

　「Internet Explorer 11」では、3件の脆弱性が修正された。

• CVE-2020-17052（緊急：リモートでコードが実行される）
• CVE-2020-17053（緊急：リモートでコードが実行される）
• CVE-2020-17058（緊急：リモートでコードが実行される）

　一方、「EdgeHTML」ベースの古い「Microsoft Edge」では、4件の脆弱性が修正されている。

• CVE-2020-17048（緊急：リモートでコードが実行される）
• CVE-2020-17052（緊急：リモートでコードが実行される）
• CVE-2020-17058（緊急：リモートでコードが実行される）
• CVE-2020-17054（重要：リモートでコードが実行される）

　「Chromium」ベースの新しい「Microsoft Edge」は、“パッチチューズデー”とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間11月5日にリリースされたv86.0.622.63。

• 「Microsoft Edge 86」でも「V8」のゼロデイ脆弱性が修正 ～v86.0.622.63への更新を - 窓の杜

Microsoft SharePoint関連

　最大深刻度は“重要”（リモートでコードが実行される）。6件の脆弱性修正がアナウンスされているが、バージョンによって影響する脆弱性は異なる。

• CVE-2020-16979（重要：情報漏洩）
• CVE-2020-17016（重要：なりすまし）
• CVE-2020-17017（重要：情報漏洩）
• CVE-2020-17060（重要：なりすまし）
• CVE-2020-17061（重要：リモートでコードが実行される）
• CVE-2020-17015（低：なりすまし）

Microsoft Exchange Server関連

　最大深刻度は“重要”（リモートでコードが実行される）。

• CVE-2020-17083（重要：リモートでコードが実行される）
• CVE-2020-17084（重要：リモートでコードが実行される）
• CVE-2020-17085（重要：サービス拒否）

そのほかの製品

　そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。

• WebP Image Extension：1件（重要：1件）
• Visual Studio Code：1件（重要：1件）
• Raw Image Extension：5件（緊急：3件、重要：2件）
• Microsoft Teams：1件（重要：1件）
• Microsoft Dynamics CRM 2015：1件（重要：1件）
• Microsoft Dynamics 365：3件（重要：3件）
• HEIF Image Extension：1件（緊急：1件）
• ChakraCore：2件（緊急：1件、重要：1件）
• Azure Sphere：15件（緊急：1件、重要：14件）
• Azure DevOps Server 2019 Update 1.1：1件（重要：1件）
• AV1 Video Extension：1件（緊急：1件）