ニュース
Windowsにゼロデイ脆弱性1件 ~Microsoftが2021年10月のセキュリティ更新を発表
「Microsoft Word」「Hyper-V」にも深刻度「Critical」の脆弱性
2021年10月13日 08:44
米Microsoftは10月12日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー、Bリリース)。現在、「Windows Update」や「Microsoft Update Catalog」から入手可能。以下のMicrosoft製品に対しても、セキュリティアップデートが提供されている。
- .NET Core & Visual Studio
- Active Directory Federation Services
- Console Window Host
- HTTP.sys
- Microsoft DWM Core Library
- Microsoft Dynamics
- Microsoft Dynamics 365 Sales
- Microsoft Edge (Chromium-based)
- Microsoft Exchange Server
- Microsoft Graphics Component
- Microsoft Intune
- Microsoft Office Excel
- Microsoft Office SharePoint
- Microsoft Office Visio
- Microsoft Office Word
- Microsoft Windows Codecs Library
- Rich Text Edit Control
- Role: DNS Server
- Role: Windows Active Directory Server
- Role: Windows AD FS Server
- Role: Windows Hyper-V
- System Center
- Visual Studio
- Windows AppContainer
- Windows AppX Deployment Service
- Windows Bind Filter Driver
- Windows Cloud Files Mini Filter Driver
- Windows Common Log File System Driver
- Windows Desktop Bridge
- Windows DirectX
- Windows Event Tracing
- Windows exFAT File System
- Windows Fastfat Driver
- Windows Installer
- Windows Kernel
- Windows MSHTML Platform
- Windows Nearby Sharing
- Windows Network Address Translation (NAT)
- Windows Print Spooler Components
- Windows Remote Procedure Call Runtime
- Windows Storage Spaces Controller
- Windows TCP/IP
- Windows Text Shaping
- Windows Win32K
今月のパッチでは、深刻度「Critical」の脆弱性が3件修正されているので注意。
- CVE-2021-40486:「Microsoft Word」におけるリモートコード実行
- CVE-2021-38672:「Hyper-V」におけるリモートコード実行
- CVE-2021-40461:「Hyper-V」におけるリモートコード実行
また、Win32kにおける権限昇格の問題(CVE-2021-40449)はすでに悪用が確認されており、一刻も早い対処が必要。ほかにも悪用の事例こそまだ確認されていないものの、内容はすでに明らかにされているものが3件ある(以上、4件の深刻度はすべて「High」)。そのうち攻撃手法が出回ると思われるので、それまでに対応を済ませておきたい。
なお、シンクライアント向けOS「Windows Thin PC」のサポートが本日をもって終了する。来月からはセキュリティパッチが提供されないので注意したい。
Windows 10/11およびWindows Server 2016/2019/2022
最大深刻度は「緊急」(リモートでコードが実行される)。今回のアップデートにはセキュリティ修正に加え、プレビューパッチ(Cリリース)での改善が含まれる。
なお、今月から「Windows 11」にもパッチが提供される。既知の問題とされていたIntel Killer/SmartByteネットワークソフトウェアとの非互換性が解決されているという。
- Windows 11(original release):KB5006674
- Windows 10 バージョン 21H1:KB5006670
- Windows 10 バージョン 20H2:KB5006670
- Windows 10 バージョン 2004:KB5006670
- Windows 10 バージョン 1909:KB5006667
- Windows Server 2022:KB5006699
- Windows Server 2019:KB5006672
- Windows Server 2016:KB5006669
「Windows 10 バージョン 2004/20H2/21H1」のOSコアは共通になっており、「イネーブルメント パッケージ」と呼ばれるパッチで機能のみを切り替える仕組みになっている。そのため、更新プログラムの内容は同一だ。
また、「バージョン 2004」全エディションは今年の12月14日にサポート期間の満了を迎える。できるだけ早めに後継バージョンへの移行を検討すべきだろう。
Windows 8.1およびWindows Server 2012/2012 R2
最大深刻度は「重要」(リモートでコードが実行される)。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。
- Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ:KB5006714
- Windows 8.1/Windows Server 2012 R2 セキュリティのみ:KB5006729
- Windows Server 2012 マンスリー ロールアップ:KB5006739
- Windows Server 2012 セキュリティのみ:KB5006732
なお、企業向けの有償延長サポート「拡張セキュリティ更新プログラム(ESU)」に加入している顧客にはWindows 7とWindows Server 2008/2008 R2向けにもパッチが提供される。
Microsoft Office関連のソフトウェア
最大深刻度は「緊急」(リモートでコードが実行される)。詳細は以下のドキュメントを参照のこと。
Internet Explorer/Microsoft Edge
「Internet Explorer」に関する脆弱性修正は案内されていない。
「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間10月12日にリリースされたv94.0.992.47。
Microsoft SharePoint
「Microsoft SharePoint」関連では、7件の脆弱性が修正された。
- CVE-2021-40486(緊急:リモートでコードが実行される)
- CVE-2021-40482(重要:情報漏洩)
- CVE-2021-40484(重要:なりすまし)
- CVE-2021-40487(重要:リモートでコードが実行される)
- CVE-2021-41344(重要:リモートでコードが実行される)
- CVE-2021-40483(低:なりすまし)
- CVE-2021-40485(重要:リモートでコードが実行される)
Microsoft Dynamics
「Microsoft Dynamics 365」では、2件の脆弱性が修正された。
- CVE-2021-41353(重要:なりすまし)
- CVE-2021-41354(重要:なりすまし)
「Microsoft Dynamics 365 Customer Engagement V9.0/9.1」でも1件の脆弱性が解決されている。
- CVE-2021-40457(重要:なりすまし)
そのほかの製品
そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。
- System Center 2019 Operations Manager:1件(重要:1件)
- System Center 2016 Operations Manager:1件(重要:1件)
- System Center 2012 R2 Operations Manager:1件(重要:1件)
- Microsoft Visual Studio 2019 version 16.11:4件(重要:4件)
- Microsoft Visual Studio 2019 version 16.9:4件(重要:4件)
- Microsoft Visual Studio 2019 version 16.7:3件(重要:3件)
- Microsoft Visual Studio 2019 version 16.4:3件(重要:3件)
- Microsoft Visual Studio 2017 version 15.9:3件(重要:4件)
- Intune management extension:1件(重要:1件)
- .NET 5.0:1件(重要:1件)