ニュース

Windowsにゼロデイ脆弱性1件 ~Microsoftが2021年10月のセキュリティ更新を発表

「Microsoft Word」「Hyper-V」にも深刻度「Critical」の脆弱性

2021年10月のセキュリティ更新プログラム

 米Microsoftは10月12日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー、Bリリース)。現在、「Windows Update」や「Microsoft Update Catalog」から入手可能。以下のMicrosoft製品に対しても、セキュリティアップデートが提供されている。

  • .NET Core & Visual Studio
  • Active Directory Federation Services
  • Console Window Host
  • HTTP.sys
  • Microsoft DWM Core Library
  • Microsoft Dynamics
  • Microsoft Dynamics 365 Sales
  • Microsoft Edge (Chromium-based)
  • Microsoft Exchange Server
  • Microsoft Graphics Component
  • Microsoft Intune
  • Microsoft Office Excel
  • Microsoft Office SharePoint
  • Microsoft Office Visio
  • Microsoft Office Word
  • Microsoft Windows Codecs Library
  • Rich Text Edit Control
  • Role: DNS Server
  • Role: Windows Active Directory Server
  • Role: Windows AD FS Server
  • Role: Windows Hyper-V
  • System Center
  • Visual Studio
  • Windows AppContainer
  • Windows AppX Deployment Service
  • Windows Bind Filter Driver
  • Windows Cloud Files Mini Filter Driver
  • Windows Common Log File System Driver
  • Windows Desktop Bridge
  • Windows DirectX
  • Windows Event Tracing
  • Windows exFAT File System
  • Windows Fastfat Driver
  • Windows Installer
  • Windows Kernel
  • Windows MSHTML Platform
  • Windows Nearby Sharing
  • Windows Network Address Translation (NAT)
  • Windows Print Spooler Components
  • Windows Remote Procedure Call Runtime
  • Windows Storage Spaces Controller
  • Windows TCP/IP
  • Windows Text Shaping
  • Windows Win32K

 今月のパッチでは、深刻度「Critical」の脆弱性が3件修正されているので注意。

  • CVE-2021-40486:「Microsoft Word」におけるリモートコード実行
  • CVE-2021-38672:「Hyper-V」におけるリモートコード実行
  • CVE-2021-40461:「Hyper-V」におけるリモートコード実行

 また、Win32kにおける権限昇格の問題(CVE-2021-40449)はすでに悪用が確認されており、一刻も早い対処が必要。ほかにも悪用の事例こそまだ確認されていないものの、内容はすでに明らかにされているものが3件ある(以上、4件の深刻度はすべて「High」)。そのうち攻撃手法が出回ると思われるので、それまでに対応を済ませておきたい。

 なお、シンクライアント向けOS「Windows Thin PC」のサポートが本日をもって終了する。来月からはセキュリティパッチが提供されないので注意したい。

Windows 10/11およびWindows Server 2016/2019/2022

 最大深刻度は「緊急」(リモートでコードが実行される)。今回のアップデートにはセキュリティ修正に加え、プレビューパッチ(Cリリース)での改善が含まれる。

 なお、今月から「Windows 11」にもパッチが提供される。既知の問題とされていたIntel Killer/SmartByteネットワークソフトウェアとの非互換性が解決されているという。

 「Windows 10 バージョン 2004/20H2/21H1」のOSコアは共通になっており、「イネーブルメント パッケージ」と呼ばれるパッチで機能のみを切り替える仕組みになっている。そのため、更新プログラムの内容は同一だ。

「Windows 11」は[Windows Update]が「設定」アプリの独立項目に。アップデートにかかる時間(推定)も表示できるようになった

 また、「バージョン 2004」全エディションは今年の12月14日にサポート期間の満了を迎える。できるだけ早めに後継バージョンへの移行を検討すべきだろう。

Windows 8.1およびWindows Server 2012/2012 R2

 最大深刻度は「重要」(リモートでコードが実行される)。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。

  • Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ:KB5006714
  • Windows 8.1/Windows Server 2012 R2 セキュリティのみ:KB5006729
  • Windows Server 2012 マンスリー ロールアップ:KB5006739
  • Windows Server 2012 セキュリティのみ:KB5006732

 なお、企業向けの有償延長サポート「拡張セキュリティ更新プログラム(ESU)」に加入している顧客にはWindows 7とWindows Server 2008/2008 R2向けにもパッチが提供される。

Microsoft Office関連のソフトウェア

 最大深刻度は「緊急」(リモートでコードが実行される)。詳細は以下のドキュメントを参照のこと。

Internet Explorer/Microsoft Edge

 「Internet Explorer」に関する脆弱性修正は案内されていない。

 「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間10月12日にリリースされたv94.0.992.47。

Microsoft SharePoint

 「Microsoft SharePoint」関連では、7件の脆弱性が修正された。

Microsoft Dynamics

 「Microsoft Dynamics 365」では、2件の脆弱性が修正された。

 「Microsoft Dynamics 365 Customer Engagement V9.0/9.1」でも1件の脆弱性が解決されている。

そのほかの製品

 そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。

  • System Center 2019 Operations Manager:1件(重要:1件)
  • System Center 2016 Operations Manager:1件(重要:1件)
  • System Center 2012 R2 Operations Manager:1件(重要:1件)
  • Microsoft Visual Studio 2019 version 16.11:4件(重要:4件)
  • Microsoft Visual Studio 2019 version 16.9:4件(重要:4件)
  • Microsoft Visual Studio 2019 version 16.7:3件(重要:3件)
  • Microsoft Visual Studio 2019 version 16.4:3件(重要:3件)
  • Microsoft Visual Studio 2017 version 15.9:3件(重要:4件)
  • Intune management extension:1件(重要:1件)
  • .NET 5.0:1件(重要:1件)