Microsoft、2020年12月の更新を発表 ～「Windows 10 バージョン 1903」のサポートは終了

2020年12月のセキュリティ更新プログラム

　米Microsoftは12月8日（現地時間）、同社製品を対象とした月例セキュリティ更新プログラムを公開した。現在、“Windows Update”や“Microsoft Update Catalog”から入手可能。今回のアップデートは、以下の製品が対象となっている。

• Microsoft Windows
• Microsoft Edge (EdgeHTML-based)
• Microsoft Edge for Android
• ChakraCore
• Microsoft Office and Microsoft Office Services and Web Apps
• Microsoft Exchange Server
• Azure DevOps
• Microsoft Dynamics
• Visual Studio
• Azure SDK
• Azure Sphere

　なお、今月から「.NET 5.0」「.NET Core 2.1/3.1」のアップデートは“Microsoft Update”経由でも受け取れる。

Windows 10およびWindows Server 2016/2019、Microsoft Edge

　最大深刻度は“緊急”（リモートでコードが実行される）。「Windows 10 バージョン 2004/20H2」ではThunderbolt NVMe SSDの問題や「Microsoft IME」の問題が解決されている。

• Windows 10 バージョン 20H2：KB4592438
• Windows 10 バージョン 2004：KB4592438
• Windows 10 バージョン 1909：KB4592449
• Windows 10 バージョン 1903：KB4592449
• Windows 10 バージョン 1803：KB4592446
• Windows Server 2019：KB4592440
• Windows Server 2016：KB4593226

　なお、「バージョン 1909」と「バージョン 1903」、「バージョン 20H2」と「バージョン 2004」はOSのコアが共通で、“イネーブルメント パッケージ”で機能のみを切り替える仕組みになっている。そのため、更新プログラムの内容は同一だ。

　また、新型コロナウイルス感染症（COVID-19）の影響を考慮し、一部のバージョンでサポート期間が延長されているが、「バージョン 1903」のサポートは終了したので注意したい。

• Windows 10 バージョン 1803（Enterprise/Education/IoT Enterprise）：2020年12月10日→2021年5月11日

Windows 8.1、Windows RT 8.1およびWindows Server 2012/2012 R2

　最大深刻度は“重要”（リモートでコードが実行される）。

• Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ：KB4592484
• Windows 8.1/Windows Server 2012 R2 セキュリティのみ：KB4592495
• Windows Server 2012 マンスリー ロールアップ：KB4592468
• Windows Server 2012 セキュリティのみ：KB4592497

　企業向けの有償延長サポート“拡張セキュリティ更新プログラム（ESU）”に加入している顧客にはWindows 7とWindows Server 2008/2008 R2向けのパッチも提供される。

Microsoft Office関連のソフトウェア

　最大深刻度は“重要”（リモートでコードが実行される）。詳細は以下のドキュメントを参照のこと。

• Release notes for Microsoft Office security updates - Office release notes
• December 2020 updates for Microsoft Office

Microsoft Edge

　今月は「Internet Explorer 11」の修正はないようだ。「EdgeHTML」ベースの古い「Microsoft Edge」では、1件の脆弱性が修正されている。

• CVE-2020-17131（緊急：リモートでコードが実行される）

　また、Android版「Microsoft Edge」でも1件の問題が対処された。

• CVE-2020-17153（警告：なりすまし）

　「Chromium」ベースの新しい「Microsoft Edge」は、“パッチチューズデー”とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間7日にリリースされたv87.0.664.57。

• 「Microsoft Edge 87」に6件の脆弱性 ～v87.0.664.57への更新を - 窓の杜

Microsoft SharePoint関連

　最大深刻度は“重要”（リモートでコードが実行される）。5件の脆弱性修正がアナウンスされているが、バージョンによって影響する脆弱性は異なる。

• CVE-2020-17118（緊急：リモートでコードが実行される）
• CVE-2020-17121（緊急：リモートでコードが実行される）
• CVE-2020-17089（重要：特権の昇格）
• CVE-2020-17120（重要：情報漏洩）
• CVE-2020-17115（警告：なりすまし）

Microsoft Exchange Server関連

　最大深刻度は“緊急”（リモートでコードが実行される）。5件の脆弱性修正がアナウンスされているが、バージョンによって影響する脆弱性は異なる。

• CVE-2020-17117（緊急：リモートでコードが実行される）
• CVE-2020-17132（緊急：リモートでコードが実行される）
• CVE-2020-17142（緊急：リモートでコードが実行される）
• CVE-2020-17141（重要：リモートでコードが実行される）
• CVE-2020-17143（重要：情報漏洩）

そのほかの製品

　そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。

• Microsoft Dynamics NAV 2015：1件（重要：1件）
• Microsoft Dynamics 365：1件（重要：1件）
• Dynamics 365 for Finance and Operations：2件（緊急：2件）
• ChakraCore：1件（緊急：1件）
• C SDK for Azure IoT：1件（重要：1件）
• Azure Sphere：1件（重要：1件）
• Azure SDK for Java：1件（重要：1件）
• Azure DevOps Server 2020：1件（重要：1件）
• Azure DevOps Server 2019.0.1：2件（重要：2件）
• Azure DevOps Server 2019 Update 1.1：2件（重要：2件）
• Microsoft Visual Studio 2019 version 16.8：1件（重要：1件）
• Microsoft Visual Studio 2019 version 16.7：1件（重要：1件）
• Microsoft Visual Studio 2019 version 16.4：1件（重要：1件）
• Microsoft Visual Studio 2019 version 16.0：1件（重要：1件）
• Microsoft Visual Studio 2017 version 15.9：1件（重要：1件）