ニュース

「PrintNightmare」含む4件のゼロデイ脆弱性に対処 ~Microsoftが2021年7月のセキュリティ更新を発表

プリンタートラブルへの対処、「Flash」の削除なども実施

2021年7月14日 08:45

2021年7月のセキュリティ更新プログラム

 米Microsoftは7月13日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー、Bリリース)。現在、「Windows Update」や「Microsoft Update Catalog」から入手可能。以下のMicrosoft製品に対しても、セキュリティアップデートが提供されている。

  • Common Internet File System
  • Dynamics Business Central Control
  • Microsoft Bing
  • Microsoft Dynamics
  • Microsoft Exchange Server
  • Microsoft Graphics Component
  • Microsoft Office
  • Microsoft Office Excel
  • Microsoft Office SharePoint
  • Microsoft Scripting Engine
  • Microsoft Windows Codecs Library
  • Microsoft Windows DNS
  • Microsoft Windows Media Foundation
  • OpenEnclave
  • Power BI
  • Role: DNS Server
  • Role: Hyper-V
  • Visual Studio Code
  • Visual Studio Code - .NET Runtime
  • Visual Studio Code - Maven for Java Extension
  • Windows Active Directory
  • Windows Address Book
  • Windows AF_UNIX Socket Provider
  • Windows AppContainer
  • Windows AppX Deployment Extensions
  • Windows Authenticode
  • Windows Cloud Files Mini Filter Driver
  • Windows Console Driver
  • Windows Defender
  • Windows Desktop Bridge
  • Windows Event Tracing
  • Windows File History Service
  • Windows Hello
  • Windows HTML Platform
  • Windows Installer
  • Windows Kernel
  • Windows Key Distribution Center
  • Windows Local Security Authority Subsystem Service
  • Windows MSHTML Platform
  • Windows Partition Management Driver
  • Windows PFX Encryption
  • Windows Print Spooler Components
  • Windows Projected File System
  • Windows Remote Access Connection Manager
  • Windows Remote Assistance
  • Windows Secure Kernel Mode
  • Windows Security Account Manager
  • Windows Shell
  • Windows SMB
  • Windows Storage Spaces Controller
  • Windows TCP/IP
  • Windows Win32K

 なお、今回のセキュリティアップデートにはいわゆる「PrintNightmare」脆弱性(CVE-2021-34527)への対処が含まれる。

関連記事

 また、以下の脆弱性に関してもすでに悪用が報告されているとのこと。できるだけ早い対処を強くお勧めする。

  • CVE-2021-34448:Scripting Engine Memory Corruption Vulnerability(CVSS:3.0 6.8)
  • CVE-2021-31979:Windows Kernel Elevation of Privilege Vulnerability(CVSS:3.0 7.8)
  • CVE-2021-33771:Windows Kernel Elevation of Privilege Vulnerability(CVSS:3.0 7.8)

Windows 10およびWindows Server 2016/2019

 最大深刻度は「緊急」(リモートでコードが実行される)。プレビューパッチ(Cリリース)での改善や、定例外リリースの内容も含まれる。2021年6月Cパッチ以降を適用した環境で発生していた特定プリンターにおける印刷トラブルも解決されているとのこと。

関連記事

 また、「Adobe Flash Player」を削除するパッチ「KB4577586」が今回から累積的更新プログラムに含まれるようになった。このパッチにより「Flash」はシステムから完全に取り除かれることになる。

 なお、「Windows 10 バージョン 2004/20H2/21H1」のOSコアは共通になっており、「イネーブルメント パッケージ」と呼ばれるパッチで機能のみを切り替える仕組みになっている。そのため、更新プログラムの内容は同一だ。

Windows 8.1およびWindows Server 2012/2012 R2

 最大深刻度は「緊急」(リモートでコードが実行される)。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。

  • Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ:KB5004298
  • Windows 8.1/Windows Server 2012 R2 セキュリティのみ:KB5004285
  • Windows Server 2012 マンスリー ロールアップ:KB5004294
  • Windows Server 2012 セキュリティのみ:KB5004302

 なお、企業向けの有償延長サポート「拡張セキュリティ更新プログラム(ESU)」に加入している顧客にはWindows 7とWindows Server 2008/2008 R2向けにもパッチが提供される。

Microsoft Office関連のソフトウェア

 最大深刻度は「重要」(リモートでコードが実行される)。詳細は以下のドキュメントなどを参照のこと。

Internet Explorer/Microsoft Edge

 「Internet Explorer 9」「Internet Explorer 11」の脆弱性修正はアナウンスされていない。

 「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間6月24日にリリースされたv91.0.864.59。

関連記事

Microsoft SharePoint Server

 「Microsoft SharePoint Server」関連では、5件の脆弱性が修正された。最大深刻度は「重要」(リモートでコードが実行される)。

Microsoft Exchange Server

 「Microsoft Exchange Server」関連では、7件の脆弱性が修正された。最大深刻度は「緊急」(リモートでコードが実行される)。「CVE-2021-31206」はハッキングコンテキスト「Pwn2Own」で報告されたものだ。

Microsoft Dynamics 365

 「Microsoft Dynamics 365 Business Central 2020」では、1件の脆弱性が修正された。

  • CVE-2021-34474(緊急:リモートでコードが実行される)

そのほかの製品

 そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。

  • Visual Studio Code:3件(重要:3件)
  • Power BI Report Server:1件(重要:1件)
  • Open Enclave SDK:1件(重要:1件)
  • Microsoft Malware Protection Engine:2件(緊急:2件)
  • Microsoft Bing Search for Android:1件(重要:1件)
  • HEVC Video Extensions:5件(重要:5件)
  • .NET Install Tool for Extension Authors:1件(重要:1件)
  • .NET Education Bundle SDK Install Tool:1件(重要:1件)