ニュース

Windowsのゼロデイ脆弱性2件に対処 ~Microsoftが2021年9月のセキュリティ更新を発表【9月17日追記】

深刻度「Critical」の致命的な問題は3件

2021年9月15日 06:30

2021年9月のセキュリティ更新プログラム

 米Microsoftは9月14日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー、Bリリース)。現在、「Windows Update」や「Microsoft Update Catalog」から入手可能。以下のMicrosoft製品に対しても、セキュリティアップデートが提供されている。

  • Azure Open Management Infrastructure
  • Azure Sphere
  • Dynamics Business Central Control
  • Microsoft Accessibility Insights for Android
  • Microsoft Edge (Chromium ベース)
  • Microsoft Edge for Android
  • Microsoft MPEG-2 Video 拡張機能
  • Microsoft Office
  • Microsoft Office Access
  • Microsoft Office Excel
  • Microsoft Office SharePoint
  • Microsoft Office Visio
  • Microsoft Office Word
  • Microsoft Windows Codecs Library
  • Microsoft Windows DNS
  • Visual Studio
  • Windows Ancillary Function Driver for WinSock
  • Windows Authenticode
  • Windows Bind Filter ドライバー
  • Windows BitLocker
  • Windows 共通ログ ファイル システム ドライバー
  • Windows イベント トレーシング
  • Windows インストーラー
  • Windows カーネル
  • Windows Key Storage Provider
  • Windows MSHTML プラットフォーム
  • Windows 印刷スプーラー コンポーネント
  • Windows Redirected Drive Buffering
  • Windows スクリプト
  • Windows SMB
  • Windows Storage
  • Windows Subsystem for Linux
  • Windows TDX.sys
  • Windows Update
  • Windows Win32K
  • Windows WLAN Auto Config Service
  • Windows WLAN サービス

 今月のパッチでは、2件のゼロデイ脆弱性が修正されている。とくに「CVE-2021-40444」はすでに悪用が確認されており、できるだけ早い対処が必要だ。

  • CVE-2021-36958:Windowsの印刷スプーラーサービスにおけるリモートコード実行(Important)
  • CVE-2021-40444:MSHTMLにおけるリモートコード実行(Important)

 このほかにも、深刻度「Critical」の問題が3件修正されている。

  • CVE-2021-38647:Open Management Infrastructure のリモートでコードが実行される
  • CVE-2021-26435:Windows スクリプト エンジンのメモリ破損の脆弱性
  • CVE-2021-36965:Windows WLAN AutoConfig サービスのリモートでコードが実行される脆弱性
関連記事

Windows 10およびWindows Server 2016/2019

 最大深刻度は「緊急」(リモートでコードが実行される)。セキュリティ修正に加え、プレビューパッチ(Cリリース)での改善が含まれる。最新版「バージョン 21H1」におけるハイライトは、「PowerShell」で特定の操作を行うと子ディレクトリが無限に作成されてしまう問題が解決されたことだ。ふりがなの自動入力が期待通りに機能しない問題が解決されたのも、日本語ユーザーにとってはうれしい改善といえるだろう。

関連記事

 なお、「Windows 10 バージョン 2004/20H2/21H1」のOSコアは共通になっており、「イネーブルメント パッケージ」と呼ばれるパッチで機能のみを切り替える仕組みになっている。そのため、更新プログラムの内容は同一だ。

 また、「バージョン 2004」全エディションは今年の12月14日にサポート期間の満了を迎える。できるだけ早めに後継バージョンへの移行を検討すべきだろう。

Windows 8.1およびWindows Server 2012/2012 R2

 最大深刻度は「緊急」(リモートでコードが実行される)。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。

  • Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ:KB5005613
  • Windows 8.1/Windows Server 2012 R2 セキュリティのみ:KB5005627
  • Windows Server 2012 マンスリー ロールアップ:KB5005623
  • Windows Server 2012 セキュリティのみ:KB5005607

 なお、企業向けの有償延長サポート「拡張セキュリティ更新プログラム(ESU)」に加入している顧客にはWindows 7とWindows Server 2008/2008 R2向けにもパッチが提供される。

Microsoft Office関連のソフトウェア

 最大深刻度は「重要」(リモートでコードが実行される)。詳細は以下のドキュメントを参照のこと。

Internet Explorer/Microsoft Edge

 「Internet Explorer」に関する脆弱性修正は案内されていない。

 「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間9月11日にリリースされたv93.0.961.47。「Google Chrome」で先日修正されたゼロデイ脆弱性「CVE-2021-30632」が修正されている。もう1件のゼロデイ脆弱性「CVE-2021-30633」(Indexed DB APIにおける解放後メモリ利用)については、数日中に対処されるものと思われる。

[2021年9月17日編集部追記] 9月16日付で「Microsoft Edge」v93.0.961.52が公開され、ゼロデイ脆弱性「CVE-2021-30632」「CVE-2021-30633」への対応が完了している。

関連記事

 また、Android版「Microsoft Edge」で、1件の脆弱性が修正されている。

Microsoft SharePoint

 「Microsoft SharePoint Server」関連では、2件の脆弱性が修正された。最大深刻度は「重要」。

Microsoft Dynamics

 「Microsoft Dynamics」関連では、1件の脆弱性が修正された。最大深刻度は「重要」。

そのほかの製品

 そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。

  • Visual Studio Code:1件(重要:1件)
  • MPEG-2 Video Extension:1件(重要:1件)
  • Microsoft Visual Studio 2019 version 16.11:1件(重要:1件)
  • Microsoft Visual Studio 2019 version 16.9:1件(重要:1件)
  • Microsoft Visual Studio 2019 version 16.7:2件(重要:2件)
  • Microsoft Visual Studio 2019 version 16.4:2件(重要:2件)
  • Microsoft Visual Studio 2017 version 15.9:2件(重要:2件)
  • HEVC Video Extensions:1件(重要:1件)
  • Azure Sphere:1件(重要:1件)
  • Azure Open Management Infrastructure:4件(緊急:1件、重要:3件)
  • Accessibility Insights for Android:1件(重要:1件)