ニュース

Microsoft、2021年2月の更新を発表～深刻な問題が複数、優先度高めでのパッチ適用を【2月15日追記】

「Windows 10 バージョン1909」向け更新に問題があり、修正した定例外パッチが配信

樽井秀人

2021年2月10日 14:11

2月15日編集部追記： 「Windows 10 バージョン 1803」向け2021年2月の更新プログラム（「KB4601354」）には、問題があることが判明した。「Visual Studio」などWPFアプリのクラッシュやエラーが発生するという。「Visual Studio」は最新版へ更新することで解決できる。他のアプリについてMicrosoftは現在、解決に取り組んでおり、今後のリリースでアップデートを提供する予定とのこと。

2月12日編集部追記： 「Windows 10 バージョン1909」および「Windows Server バージョン1909」向け2021年2月の更新プログラム（「KB4601315」）には、問題があることが判明したため、問題を修正した定例外パッチ「KB5001028」が配信された。「KB5001028」では、「KB4601315」を適用した環境でWPA3接続を開始するとブルースクリーン（BSoD）が発生する問題が修正されている。

2021年2月のセキュリティ更新プログラム

　米Microsoftは2月9日（現地時間）、同社製品を対象とした月例セキュリティ更新プログラムを公開した。現在、“Windows Update”や“Microsoft Update Catalog”から入手可能。今回のアップデートは、以下の製品が対象となっている。

　昨年8月に発表された「Netlogon」脆弱性（ZeroLogon）に対処するため、ドメイン内で“安全な RPC”接続を必須にする強制フェイズが予定通り開始されるほか、WindowsのTCP/IP実装で発見されたワームに悪用されかねない重大な脆弱性が対処されているので注意したい。

Windows 10およびWindows Server 2016/2019、Microsoft Edge

　最大深刻度は“緊急”（リモートでコードが実行される）。Win32kにおける権限昇格の欠陥（CVE-2021-1732）は悪用が確認されているゼロデイ脆弱性なので注意が必要だ。

Windows 10 バージョン 20H2：KB4601319
Windows 10 バージョン 2004：KB4601319
Windows 10 バージョン 1909：KB4601315
Windows 10 バージョン 1803：KB4601354
Windows Server 2019：KB4601345
Windows Server 2016：KB4601318

　なお、「バージョン 20H2」と「バージョン 2004」はOSのコアが共通で、“イネーブルメントパッケージ”で機能のみを切り替える仕組みになっている。そのため、更新プログラムの内容は同一だ。

　また、新型コロナウイルス感染症（COVID-19）の影響を考慮し、一部のバージョンでサポート期間が延長されている。

Windows 10 バージョン 1803（Enterprise/Education/IoT Enterprise）：2021年2月10日→2021年5月11日

Windows 8.1、Windows RT 8.1およびWindows Server 2012/2012 R2

　最大深刻度は“緊急”（リモートでコードが実行される）。

Windows 8.1/Windows Server 2012 R2 マンスリーロールアップ：KB4601384
Windows 8.1/Windows Server 2012 R2 セキュリティのみ：KB4601349
Windows Server 2012 マンスリーロールアップ：KB4601348
Windows Server 2012 セキュリティのみ：KB4601357

　企業向けの有償延長サポート“拡張セキュリティ更新プログラム（ESU）”に加入している顧客にはWindows 7とWindows Server 2008/2008 R2向けのパッチも提供される。

Microsoft Office関連のソフトウェア

　最大深刻度は“重要”（リモートでコードが実行される）。詳細は以下のドキュメントを参照のこと。

Microsoft Edge

　今月は「Internet Explorer 11」および「EdgeHTML」ベースの古い「Microsoft Edge」に修正はないようだ。

　なお、古い「Edge」のサポートは来月までとなっている。4月の月例パッチでシステムから削除されるので注意したい。とくに“キオスクモード”で運用している場合は再設定や機能の評価が必要になる。

来月サポート終了の旧「Microsoft Edge」、4月の月例パッチで新版に置き換えへ - 窓の杜

　「Chromium」ベースの新しい「Microsoft Edge」は、“パッチチューズデー”とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間4日にリリースされたv88.0.705.62。

「Chrome」で発見でされたゼロデイ脆弱性、「Microsoft Edge 88」でも対処 - 窓の杜

Microsoft SharePoint

　「SharePoint」に関連する修正は、全部で4件。最大深刻度は“重要”。

CVE-2021-1726（重要：なりすまし）
CVE-2021-24066（重要：リモートでコードが実行される）
CVE-2021-24071（重要：情報漏洩）
CVE-2021-24072（重要：リモートでコードが実行される）

Microsoft Lync/Skype for Business

　「Microsoft Lync Server 2013」「Skype for Business Server」関連では、2件の脆弱性が修正された。

CVE-2021-24073（重要：なりすまし）
CVE-2021-24099（重要：サービス拒否）

.NET

　「.NET Framework」（Windows専用）と「.NET」「.NET Core」（クロスプラットフォーム対応）に関する修正は、公式ブログを参照のこと。最大深刻度は“緊急”（リモートでコードが実行される）。

Microsoft Dynamics

　「Microsoft Dynamics 365」では、1件の脆弱性が修正された。

CVE-2021-24101（重要：情報漏洩）

　そのほかの「Microsoft Dynamics」関連では、1件の脆弱性が修正されている。

CVE-2021-1724（重要：なりすまし）

そのほかの製品

　そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。

Windows Defender：1件（重要：1件）
Visual Studio Code - npm-script Extension：1件（重要：1件）
Visual Studio Code：1件（重要：1件）
System Center 2019 Operations Manager：1件（重要：1件）
PsExec：1件（重要：1件）
Package Manager Configurations：1件（重要：1件）
Microsoft Visual Studio 2019 version 16.8：2件（重要：2件）
Microsoft Visual Studio 2019 version 16.7：2件（重要：2件）
Microsoft Visual Studio 2019 version 16.4：2件（重要：2件）
Microsoft Visual Studio 2017 version 15.9：2件（重要：2件）
Microsoft Teams for iOS：1件（重要：1件）
Microsoft System Center Endpoint Protection：1件（重要：1件）
Microsoft System Center 2012 R2 Endpoint Protection：1件（重要：1件）
Microsoft System Center 2012 Endpoint Protection：1件（重要：1件）
Microsoft Security Essentials：1件（重要：1件）
Microsoft Azure Kubernetes Service：1件（重要：1件）
azure-iot-cli-extension：1件（重要：1件）