ニュース

Microsoft、2021年1月の更新を発表 ~「Microsoft Defender」にゼロデイ脆弱性

OSの最大深刻度は“緊急”。「Adobe Flash Player」の既定無効化にも注意

2021年1月のセキュリティ更新プログラム

 米Microsoftは1月12日(現地時間)、同社製品を対象とした月例セキュリティ更新プログラムを公開した。現在、“Windows Update”や“Microsoft Update Catalog”から入手可能。今回のアップデートは、以下の製品が対象となっている。

  • Microsoft Windows
  • Microsoft Edge (EdgeHTML-based)
  • Microsoft Office and Microsoft Office Services and Web Apps
  • Microsoft Windows Codecs Library
  • Visual Studio
  • SQL Server
  • Microsoft Malware Protection Engine
  • .NET Core
  • .NET Repository
  • ASP .NET
  • Azure

 今月から「Adobe Flash Player」が既定で無効化されるので注意。まだ利用中の場合は、アンインストールをお勧めする。

Windows 10およびWindows Server 2016/2019、Microsoft Edge

 最大深刻度は“緊急”(リモートでコードが実行される)。

 なお、「バージョン 20H2」と「バージョン 2004」はOSのコアが共通で、“イネーブルメント パッケージ”で機能のみを切り替える仕組みになっている。そのため、更新プログラムの内容は同一だ。

 また、新型コロナウイルス感染症(COVID-19)の影響を考慮し、一部のバージョンでサポート期間が延長されている。

  • Windows 10 バージョン 1803(Enterprise/Education/IoT Enterprise):2021年1月10日→2021年5月11日

Windows 8.1、Windows RT 8.1およびWindows Server 2012/2012 R2

 最大深刻度は“緊急”(リモートでコードが実行される)。

  • Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ:KB4598285
  • Windows 8.1/Windows Server 2012 R2 セキュリティのみ:KB4598275
  • Windows Server 2012 マンスリー ロールアップ:KB4598278
  • Windows Server 2012 セキュリティのみ:KB4598297

 企業向けの有償延長サポート“拡張セキュリティ更新プログラム(ESU)”に加入している顧客にはWindows 7とWindows Server 2008/2008 R2向けのパッチも提供される。

Microsoft Office関連のソフトウェア

 最大深刻度は“重要”(リモートでコードが実行される)。詳細は以下のドキュメントを参照のこと。

Microsoft Edge

 今月は「Internet Explorer 11」の修正はないようだ。「EdgeHTML」ベースの古い「Microsoft Edge」では、1件の脆弱性が修正されている。

  • CVE-2021-1705(緊急:リモートでコードが実行される)

 「Chromium」ベースの新しい「Microsoft Edge」は、“パッチチューズデー”とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間7日にリリースされたv87.0.664.75。

そのほかの製品

 そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。

  • Windows Defender:1件(緊急:1件)
  • Remote Desktop client for Windows Desktop:1件(重要:1件)
  • Microsoft Visual Studio 2019 version 16.8:4件(重要:4件)
  • Microsoft Visual Studio 2019 version 16.7:4件(重要:4件)
  • Microsoft Visual Studio 2019 version 16.4:4件(重要:4件)
  • Microsoft Visual Studio 2019 version 16.0:3件(重要:3件)
  • Microsoft Visual Studio 2017 version 15.9:3件(重要:3件)
  • Microsoft Visual Studio 2015 Update 3:2件(重要:2件)
  • Microsoft System Center Endpoint Protection:1件(緊急:1件)
  • Microsoft System Center 2012 R2 Endpoint Protection:1件(緊急:1件)
  • Microsoft System Center 2012 Endpoint Protection:1件(緊急:1件)
  • Microsoft SQL Server 2019:1件(重要:1件)
  • Microsoft SQL Server 2017:1件(重要:1件)
  • Microsoft SQL Server 2016 Service Pack 2:1件(重要:1件)
  • Microsoft SQL Server 2014 Service Pack 3:1件(重要:1件)
  • Microsoft SQL Server 2012 Service Pack 4:1件(重要:1件)
  • Microsoft SharePoint Server 2019:7件(重要:7件)
  • Microsoft SharePoint Server 2010 Service Pack 2:2件(重要:2件)
  • Microsoft SharePoint Foundation 2013 Service Pack 1:4件(重要:4件)
  • Microsoft SharePoint Foundation 2010 Service Pack 2:2件(重要:2件)
  • Microsoft SharePoint Enterprise Server 2016:7件(重要:7件)
  • Microsoft SharePoint Enterprise Server 2013 Service Pack 1:3件(重要:3件)
  • Microsoft Security Essentials:1件(緊急:1件)
  • Microsoft Remote Desktop for Android:1件(重要:1件)
  • Microsoft Remote Desktop:1件(重要:1件)
  • Microsoft Azure Kubernetes Service:1件(重要:1件)
  • HEVC Video Extensions:2件(緊急:1件、重要:1件)
  • Bot Framework SDK for Python:1件(重要:1件)
  • Bot Framework SDK for JavaScript:1件(重要:1件)
  • Bot Framework SDK for .NET Framework:1件(重要:1件)
  • ASP.NET Core 5.0:1件(重要:1件)
  • ASP.NET Core 3.1:1件(重要:1件)

 とくに「Microsoft Defender」などで任意のコードがリモート実行されてしまう脆弱性(CVE-2021-1647)は悪用が確認されているので注意したい。