ニュース

悪用が確認されている脆弱性も ~Microsoftが2021年8月のセキュリティ更新を発表

CVE番号ベースで44件のセキュリティ欠陥に対処

2021年8月のセキュリティ更新プログラム

 米Microsoftは8月10日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー、Bリリース)。現在、「Windows Update」や「Microsoft Update Catalog」から入手可能。以下のMicrosoft製品に対しても、セキュリティアップデートが提供されている。

  • .NET Core と Visual Studio
  • ASP .NET
  • Azure
  • Azure Sphere
  • Microsoft Azure Active Directory Connect
  • Microsoft Dynamics
  • Microsoft Graphics コンポーネント
  • Microsoft Office
  • Microsoft Office SharePoint
  • Microsoft Office Word
  • Microsoft Scripting Engine
  • Microsoft Windows Codecs Library
  • リモート デスクトップ クライアント
  • Windows Bluetooth サービス
  • Windows Cryptographic サービス
  • Windows Defender
  • Windows イベント トレーシング
  • Windows Media
  • Windows MSHTML プラットフォーム
  • Windows NTLM
  • Windows 印刷スプーラー コンポーネント
  • Windows Services for NFS ONCRPC XDR Driver
  • Windows Storage Spaces Controller
  • Windows TCP/IP
  • Windows Update
  • Windows Update Assistant
  • Windows User Profile Service

 今月のパッチには、CVE番号ベースで44件の修正が含まれている。

 このうち、「Windows Update Medic Service」における特権昇格の脆弱性(CVE-2021-36948、深刻度:重要)は悪用が確認されており、警戒が必要。

 また、Windows 印刷スプーラーにおけるリモートコード実行の問題(CVE-2021-36936、深刻度:緊急)とWindows LSAにおけるなりすましの欠陥(CVE-2021-36942、深刻度:重要)はすでに実証コードが明らかにされており、攻撃に悪用される可能性が高い。できるだけ早い対処が必要だ。

Windows 10およびWindows Server 2016/2019

 最大深刻度は「緊急」(リモートでコードが実行される)。セキュリティ修正に加え、プレビューパッチ(Cリリース)での改善が含まれる。

 なお、「Windows 10 バージョン 2004/20H2/21H1」のOSコアは共通になっており、「イネーブルメント パッケージ」と呼ばれるパッチで機能のみを切り替える仕組みになっている。そのため、更新プログラムの内容は同一だ。

Windows 8.1およびWindows Server 2012/2012 R2

 最大深刻度は「緊急」(リモートでコードが実行される)。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。

  • Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ:KB5005076
  • Windows 8.1/Windows Server 2012 R2 セキュリティのみ:KB5005106
  • Windows Server 2012 マンスリー ロールアップ:KB5005099
  • Windows Server 2012 セキュリティのみ:KB5005094

 なお、企業向けの有償延長サポート「拡張セキュリティ更新プログラム(ESU)」に加入している顧客にはWindows 7とWindows Server 2008/2008 R2向けにもパッチが提供される。

Microsoft Office関連のソフトウェア

 最大深刻度は「重要」(リモートでコードが実行される)。詳細は以下のドキュメントを参照のこと。

Internet Explorer/Microsoft Edge

 「Internet Explorer」に関する脆弱性修正は案内されていない。

 「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間8月5日にリリースされたv92.0.902.67。

Microsoft SharePoint Server

 「Microsoft SharePoint Server」関連では、1件の脆弱性が修正された。最大深刻度は「重要」。

Microsoft Dynamics

 「Microsoft Dynamics」関連では、1件の脆弱性が修正された。最大深刻度は「重要」。

そのほかの製品

 そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。

  • Windows Update Assistant:1件(重要:1件)
  • Visual Studio 2019 for Mac version 8.10:2件(重要:2件)
  • Remote Desktop client for Windows Desktop:1件(緊急:1件)
  • Microsoft Visual Studio 2019 version 16.10:3件(重要:3件)
  • Microsoft Visual Studio 2019 version 16.9:3件(重要:3件)
  • Microsoft Visual Studio 2019 version 16.7:3件(重要:3件)
  • Microsoft Visual Studio 2019 version 16.4:3件(重要:3件)
  • Microsoft Visual Studio 2017 version 15.9:2件(重要:2件)
  • Microsoft Malware Protection Engine:1件(重要:1件)
  • Microsoft Azure Active Directory Connect 2.0.3.0:1件(重要:1件)
  • Microsoft Azure Active Directory Connect 1.6.4.0:1件(重要:1件)
  • Azure Sphere:3件(重要:3件)
  • Azure CycleCloud 8.2.0:2件(重要:2件)
  • Azure CycleCloud 7.9.10:1件(重要:1件)
  • ASP.NET Core 5.0:1件(重要:1件)
  • ASP.NET Core 3.1:1件(重要:1件)
  • ASP.NET Core 2.1:1件(重要:1件)
  • .NET Core 3.1:2件(重要:2件)
  • .NET Core 2.1:2件(重要:2件)
  • .NET 5.0:2件(重要:2件)