ニュース
Microsoft、2021年2月の更新を発表 ~深刻な問題が複数、優先度高めでのパッチ適用を【2月15日追記】
「Windows 10 バージョン1909」向け更新に問題があり、修正した定例外パッチが配信
2021年2月10日 14:11
2月15日編集部追記: 「Windows 10 バージョン 1803」向け2021年2月の更新プログラム(「KB4601354」)には、問題があることが判明した。「Visual Studio」などWPFアプリのクラッシュやエラーが発生するという。「Visual Studio」は最新版へ更新することで解決できる。他のアプリについてMicrosoftは現在、解決に取り組んでおり、今後のリリースでアップデートを提供する予定とのこと。
2月12日編集部追記: 「Windows 10 バージョン1909」および「Windows Server バージョン1909」向け2021年2月の更新プログラム(「KB4601315」)には、問題があることが判明したため、問題を修正した定例外パッチ「KB5001028」が配信された。「KB5001028」では、「KB4601315」を適用した環境でWPA3接続を開始するとブルースクリーン(BSoD)が発生する問題が修正されている。
米Microsoftは2月9日(現地時間)、同社製品を対象とした月例セキュリティ更新プログラムを公開した。現在、“Windows Update”や“Microsoft Update Catalog”から入手可能。今回のアップデートは、以下の製品が対象となっている。
- .NET Core
- .NET Framework
- Azure IoT
- Developer Tools
- Microsoft Azure Kubernetes Service
- Microsoft Dynamics
- Microsoft Edge for Android
- Microsoft Exchange Server
- Microsoft Graphics Component
- Microsoft Office Excel
- Microsoft Office SharePoint
- Microsoft Windows Codecs Library
- Role: DNS Server
- Role: Hyper-V
- Role: Windows Fax Service
- Skype for Business
- SysInternals
- System Center
- Visual Studio
- Windows Address Book
- Windows Backup Engine
- Windows Console Driver
- Windows Defender
- Windows DirectX
- Windows Event Tracing
- Windows Installer
- Windows Kernel
- Windows Mobile Device Management
- Windows Network File System
- Windows PFX Encryption
- Windows PKU2U
- Windows PowerShell
- Windows Print Spooler Components
- Windows Remote Procedure Call
- Windows TCP/IP
- Windows Trust Verification API
昨年8月に発表された「Netlogon」脆弱性(ZeroLogon)に対処するため、ドメイン内で“安全な RPC”接続を必須にする強制フェイズが予定通り開始されるほか、WindowsのTCP/IP実装で発見されたワームに悪用されかねない重大な脆弱性が対処されているので注意したい。
Windows 10およびWindows Server 2016/2019、Microsoft Edge
最大深刻度は“緊急”(リモートでコードが実行される)。Win32kにおける権限昇格の欠陥(CVE-2021-1732)は悪用が確認されているゼロデイ脆弱性なので注意が必要だ。
- Windows 10 バージョン 20H2:KB4601319
- Windows 10 バージョン 2004:KB4601319
- Windows 10 バージョン 1909:KB4601315
- Windows 10 バージョン 1803:KB4601354
- Windows Server 2019:KB4601345
- Windows Server 2016:KB4601318
なお、「バージョン 20H2」と「バージョン 2004」はOSのコアが共通で、“イネーブルメント パッケージ”で機能のみを切り替える仕組みになっている。そのため、更新プログラムの内容は同一だ。
また、新型コロナウイルス感染症(COVID-19)の影響を考慮し、一部のバージョンでサポート期間が延長されている。
- Windows 10 バージョン 1803(Enterprise/Education/IoT Enterprise):2021年2月10日→2021年5月11日
Windows 8.1、Windows RT 8.1およびWindows Server 2012/2012 R2
最大深刻度は“緊急”(リモートでコードが実行される)。
- Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ:KB4601384
- Windows 8.1/Windows Server 2012 R2 セキュリティのみ:KB4601349
- Windows Server 2012 マンスリー ロールアップ:KB4601348
- Windows Server 2012 セキュリティのみ:KB4601357
企業向けの有償延長サポート“拡張セキュリティ更新プログラム(ESU)”に加入している顧客にはWindows 7とWindows Server 2008/2008 R2向けのパッチも提供される。
Microsoft Office関連のソフトウェア
最大深刻度は“重要”(リモートでコードが実行される)。詳細は以下のドキュメントを参照のこと。
Microsoft Edge
今月は「Internet Explorer 11」および「EdgeHTML」ベースの古い「Microsoft Edge」に修正はないようだ。
なお、古い「Edge」のサポートは来月までとなっている。4月の月例パッチでシステムから削除されるので注意したい。とくに“キオスクモード”で運用している場合は再設定や機能の評価が必要になる。
「Chromium」ベースの新しい「Microsoft Edge」は、“パッチチューズデー”とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間4日にリリースされたv88.0.705.62。
Microsoft SharePoint
「SharePoint」に関連する修正は、全部で4件。最大深刻度は“重要”。
- CVE-2021-1726(重要:なりすまし)
- CVE-2021-24066(重要:リモートでコードが実行される)
- CVE-2021-24071(重要:情報漏洩)
- CVE-2021-24072(重要:リモートでコードが実行される)
Microsoft Lync/Skype for Business
「Microsoft Lync Server 2013」「Skype for Business Server」関連では、2件の脆弱性が修正された。
- CVE-2021-24073(重要:なりすまし)
- CVE-2021-24099(重要:サービス拒否)
.NET
「.NET Framework」(Windows専用)と「.NET」「.NET Core」(クロスプラットフォーム対応)に関する修正は、公式ブログを参照のこと。最大深刻度は“緊急”(リモートでコードが実行される)。
Microsoft Dynamics
「Microsoft Dynamics 365」では、1件の脆弱性が修正された。
- CVE-2021-24101(重要:情報漏洩)
そのほかの「Microsoft Dynamics」関連では、1件の脆弱性が修正されている。
- CVE-2021-1724(重要:なりすまし)
そのほかの製品
そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。
- Windows Defender:1件(重要:1件)
- Visual Studio Code - npm-script Extension:1件(重要:1件)
- Visual Studio Code:1件(重要:1件)
- System Center 2019 Operations Manager:1件(重要:1件)
- PsExec:1件(重要:1件)
- Package Manager Configurations:1件(重要:1件)
- Microsoft Visual Studio 2019 version 16.8:2件(重要:2件)
- Microsoft Visual Studio 2019 version 16.7:2件(重要:2件)
- Microsoft Visual Studio 2019 version 16.4:2件(重要:2件)
- Microsoft Visual Studio 2017 version 15.9:2件(重要:2件)
- Microsoft Teams for iOS:1件(重要:1件)
- Microsoft System Center Endpoint Protection:1件(重要:1件)
- Microsoft System Center 2012 R2 Endpoint Protection:1件(重要:1件)
- Microsoft System Center 2012 Endpoint Protection:1件(重要:1件)
- Microsoft Security Essentials:1件(重要:1件)
- Microsoft Azure Kubernetes Service:1件(重要:1件)
- azure-iot-cli-extension:1件(重要:1件)