Microsoft、2021年5月のセキュリティ更新を発表 ～Windowsにリモートコード実行の致命的な脆弱性が3件

2021年5月のセキュリティ更新プログラム

　米Microsoftは5月11日（現地時間）、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした（パッチチューズデー、Bリリース）。現在、「Windows Update」や「Microsoft Update Catalog」から入手可能。以下のMicrosoft製品に対しても、セキュリティアップデートが提供されている。

• .NET Core & Visual Studio
• HTTP.sys
• Internet Explorer
• Microsoft Accessibility Insights for Web
• Microsoft Bluetooth Driver
• Microsoft Dynamics Finance & Operations
• Microsoft Exchange Server
• Microsoft Graphics Component
• Microsoft Office
• Microsoft Office Access
• Microsoft Office Excel
• Microsoft Office SharePoint
• Microsoft Office Word
• Microsoft Windows Codecs Library
• Microsoft Windows IrDA
• Open Source Software
• Role: Hyper-V
• Skype for Business and Microsoft Lync
• Visual Studio
• Visual Studio Code
• Windows Container Isolation FS Filter Driver
• Windows Container Manager Service
• Windows Cryptographic Services
• Windows CSC Service
• Windows Desktop Bridge
• Windows OLE
• Windows Projected File System FS Filter
• Windows RDP Client
• Windows SMB
• Windows SSDP Service
• Windows WalletService
• Windows Wireless Networking

　Windowsでは「Hyper-V」におけるリモートコード実行（CVE-2021-28476）、OLEオートメーションにおけるリモートコード実行（CVE-2021-31194）、HTTPプロトコルスタックにおけるリモートコード実行（CVE-2021-31166）がそれぞれ深刻度「緊急」と評価されており、警戒が必要だ。

Windows 10およびWindows Server 2016/2019

　最大深刻度は「緊急」（リモートでコードが実行される）。「Windows 10 バージョン 1909」（法人向けエディションを除く）などがサービス終了となっているので、利用中の場合はできるだけ早いアップグレードをお勧めする。

• Windows 10 バージョン 20H2：KB5003173
• Windows 10 バージョン 2004：KB5003173
• Windows 10 バージョン 1909：KB5003169
• Windows Server 2019：KB5003171
• Windows Server 2016：KB5003197

　なお、「バージョン 2004/20H2」はOSのコアが共通で、「イネーブルメント パッケージ」で機能のみを切り替える仕組みになっている。そのため、更新プログラムの内容は同一だ。

Windows 8.1およびWindows Server 2012/2012 R2

　最大深刻度は「緊急」（リモートでコードが実行される）。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。

• Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ：KB5003209
• Windows 8.1/Windows Server 2012 R2 セキュリティのみ：KB5003220
• Windows Server 2012 マンスリー ロールアップ：KB5003208
• Windows Server 2012 セキュリティのみ：KB5003203

　なお、企業向けの有償延長サポート「拡張セキュリティ更新プログラム（ESU）」に加入している顧客にはWindows 7とWindows Server 2008/2008 R2向けにもパッチが提供される。

Microsoft Office関連のソフトウェア

　最大深刻度は「重要」（リモートでコードが実行される）。詳細は以下のドキュメントを参照のこと。

• Release notes for Microsoft Office security updates - Office release notes

Internet Explorer/Microsoft Edge

　「Internet Explorer 9」「Internet Explorer 11」では、1件の脆弱性が修正された。

• CVE-2021-26419（緊急：リモートでコードが実行される）

　「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間4月29日にリリースされたv90.0.818.51。

• 「Microsoft Edge 90」で7件の脆弱性が修正 - 窓の杜

Microsoft SharePoint Server

　「Microsoft SharePoint Server」関連では、7件の脆弱性が修正された。最大深刻度は「重要」。

• CVE-2021-26418（重要：なりすまし）
• CVE-2021-28474（重要：リモートでコードが実行される）
• CVE-2021-28478（重要：なりすまし）
• CVE-2021-31171（重要：情報漏洩）
• CVE-2021-31172（重要：なりすまし）
• CVE-2021-31173（重要：情報漏洩）
• CVE-2021-31181（重要：リモートでコードが実行される）

Microsoft Exchange Server

　「Microsoft Exchange Server」関連では、4件の脆弱性が修正された。最大深刻度は「重要」。

• CVE-2021-31195（重要：リモートでコードが実行される）
• CVE-2021-31198（重要：リモートでコードが実行される）
• CVE-2021-31209（重要：なりすまし）
• CVE-2021-31207（警告：セキュリティ機能のバイパス）

　4月のアップデートで既知の問題が発見され、回避策が案内されているほか、新しいセキュリティ機能も追加されている。詳しくは公式ブログを参照のこと。

• Released: May 2021 Exchange Server Security Updates - Microsoft Tech Community

Skype for Business Server/Microsoft Lync Server

　「Skype for Business Server」「Microsoft Lync Server」関連では、2件の脆弱性が修正された。

• CVE-2021-26421（重要：なりすまし）
• CVE-2021-26422（重要：リモートでコードが実行される）

そのほかの製品

　そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。

• Web Media Extensions：1件（重要：1件）
• Visual Studio Code Remote - Containers Extension：1件（重要：1件）
• Visual Studio Code：2件（重要：2件）
• Visual Studio 2019 for Mac version 8.9：1件（重要：1件）
• Dynamics 365 for Finance and Operations：1件（重要：1件）
• common_utils.py：1件（重要：1件）
• .NET Core 3.1：1件（重要：1件）
• .NET 5.0：1件（重要：1件）