ニュース
悪用が確認されている脆弱性も ~Microsoftが2021年8月のセキュリティ更新を発表
CVE番号ベースで44件のセキュリティ欠陥に対処
2021年8月11日 09:00
米Microsoftは8月10日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー、Bリリース)。現在、「Windows Update」や「Microsoft Update Catalog」から入手可能。以下のMicrosoft製品に対しても、セキュリティアップデートが提供されている。
- .NET Core と Visual Studio
- ASP .NET
- Azure
- Azure Sphere
- Microsoft Azure Active Directory Connect
- Microsoft Dynamics
- Microsoft Graphics コンポーネント
- Microsoft Office
- Microsoft Office SharePoint
- Microsoft Office Word
- Microsoft Scripting Engine
- Microsoft Windows Codecs Library
- リモート デスクトップ クライアント
- Windows Bluetooth サービス
- Windows Cryptographic サービス
- Windows Defender
- Windows イベント トレーシング
- Windows Media
- Windows MSHTML プラットフォーム
- Windows NTLM
- Windows 印刷スプーラー コンポーネント
- Windows Services for NFS ONCRPC XDR Driver
- Windows Storage Spaces Controller
- Windows TCP/IP
- Windows Update
- Windows Update Assistant
- Windows User Profile Service
今月のパッチには、CVE番号ベースで44件の修正が含まれている。
このうち、「Windows Update Medic Service」における特権昇格の脆弱性(CVE-2021-36948、深刻度:重要)は悪用が確認されており、警戒が必要。
また、Windows 印刷スプーラーにおけるリモートコード実行の問題(CVE-2021-36936、深刻度:緊急)とWindows LSAにおけるなりすましの欠陥(CVE-2021-36942、深刻度:重要)はすでに実証コードが明らかにされており、攻撃に悪用される可能性が高い。できるだけ早い対処が必要だ。
Windows 10およびWindows Server 2016/2019
最大深刻度は「緊急」(リモートでコードが実行される)。セキュリティ修正に加え、プレビューパッチ(Cリリース)での改善が含まれる。
- Windows 10 バージョン 21H1:KB5005033
- Windows 10 バージョン 20H2:KB5005033
- Windows 10 バージョン 2004:KB5005033
- Windows 10 バージョン 1909:KB5005031
- Windows Server 2019:KB5005030
- Windows Server 2016:KB5005043
なお、「Windows 10 バージョン 2004/20H2/21H1」のOSコアは共通になっており、「イネーブルメント パッケージ」と呼ばれるパッチで機能のみを切り替える仕組みになっている。そのため、更新プログラムの内容は同一だ。
Windows 8.1およびWindows Server 2012/2012 R2
最大深刻度は「緊急」(リモートでコードが実行される)。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。
- Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ:KB5005076
- Windows 8.1/Windows Server 2012 R2 セキュリティのみ:KB5005106
- Windows Server 2012 マンスリー ロールアップ:KB5005099
- Windows Server 2012 セキュリティのみ:KB5005094
なお、企業向けの有償延長サポート「拡張セキュリティ更新プログラム(ESU)」に加入している顧客にはWindows 7とWindows Server 2008/2008 R2向けにもパッチが提供される。
Microsoft Office関連のソフトウェア
最大深刻度は「重要」(リモートでコードが実行される)。詳細は以下のドキュメントを参照のこと。
Internet Explorer/Microsoft Edge
「Internet Explorer」に関する脆弱性修正は案内されていない。
「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間8月5日にリリースされたv92.0.902.67。
Microsoft SharePoint Server
「Microsoft SharePoint Server」関連では、1件の脆弱性が修正された。最大深刻度は「重要」。
- CVE-2021-36940(重要:なりすまし)
Microsoft Dynamics
「Microsoft Dynamics」関連では、1件の脆弱性が修正された。最大深刻度は「重要」。
- CVE-2021-34524(重要:リモートでコードが実行される)
- CVE-2021-36950(重要:なりすまし)
そのほかの製品
そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。
- Windows Update Assistant:1件(重要:1件)
- Visual Studio 2019 for Mac version 8.10:2件(重要:2件)
- Remote Desktop client for Windows Desktop:1件(緊急:1件)
- Microsoft Visual Studio 2019 version 16.10:3件(重要:3件)
- Microsoft Visual Studio 2019 version 16.9:3件(重要:3件)
- Microsoft Visual Studio 2019 version 16.7:3件(重要:3件)
- Microsoft Visual Studio 2019 version 16.4:3件(重要:3件)
- Microsoft Visual Studio 2017 version 15.9:2件(重要:2件)
- Microsoft Malware Protection Engine:1件(重要:1件)
- Microsoft Azure Active Directory Connect 2.0.3.0:1件(重要:1件)
- Microsoft Azure Active Directory Connect 1.6.4.0:1件(重要:1件)
- Azure Sphere:3件(重要:3件)
- Azure CycleCloud 8.2.0:2件(重要:2件)
- Azure CycleCloud 7.9.10:1件(重要:1件)
- ASP.NET Core 5.0:1件(重要:1件)
- ASP.NET Core 3.1:1件(重要:1件)
- ASP.NET Core 2.1:1件(重要:1件)
- .NET Core 3.1:2件(重要:2件)
- .NET Core 2.1:2件(重要:2件)
- .NET 5.0:2件(重要:2件)