ニュース

Microsoftの2021年11月セキュリティ更新、ゼロデイ2件を含む55件の脆弱性に対処【11月12日追記】

Windows 10 バージョン 1909でもIPPによるプリンターのインストールに失敗する問題が修正

2021年11月10日 06:45

2021年11月のセキュリティ更新プログラム

 米Microsoftは11月9日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー、Bリリース)。現在、「Windows Update」や「Microsoft Update Catalog」から入手可能。以下のMicrosoft製品に対しても、セキュリティアップデートが提供されている。

  • 3D Viewer
  • Azure
  • Azure RTOS
  • Azure Sphere
  • Microsoft Dynamics
  • Microsoft Edge (Chromium-based)
  • Microsoft Edge (Chromium-based) in IE Mode
  • Microsoft Exchange Server
  • Microsoft Office
  • Microsoft Office Access
  • Microsoft Office Excel
  • Microsoft Office SharePoint
  • Microsoft Office Word
  • Microsoft Windows
  • Microsoft Windows Codecs Library
  • Power BI
  • Role: Windows Hyper-V
  • Visual Studio
  • Visual Studio Code
  • Windows Active Directory
  • Windows COM
  • Windows Core Shell
  • Windows Cred SSProvider Protocol
  • Windows Defender
  • Windows Desktop Bridge
  • Windows Diagnostic Hub
  • Windows Fastfat Driver
  • Windows Feedback Hub
  • Windows Hello
  • Windows Installer
  • Windows Kernel
  • Windows NTFS
  • Windows RDP
  • Windows Scripting
  • Windows Virtual Machine Bus

 今月のパッチでは、55件の脆弱性が修正された(内、深刻度「Critical」は6件)。以下の2件は、すでに攻撃が確認されているゼロデイ脆弱性となっており一刻も早い対処が必要。

  • CVE-2021-42292:Microsoft Excel のセキュリティ機能のバイパスの脆弱性(Important)
  • CVE-2021-42321:Microsoft Exchange Server のリモートでコードが実行される脆弱性(Important)

 また、以下の4件はすでに攻撃手法が公になっている。悪用はまだ確認されていないが、できるだけ早めの対策を心掛けたい。

  • CVE-2021-43208:3D ビューアーのリモートでコードが実行される脆弱性(Important)
  • CVE-2021-43209:3D ビューアーのリモートでコードが実行される脆弱性(Important)
  • CVE-2021-38631:Windows リモート デスクトップ プロトコル (RDP) の情報漏えいの脆弱性(Important)
  • CVE-2021-41371:Windows リモート デスクトップ プロトコル (RDP) の情報漏えいの脆弱性(Important)

Windows 10/11およびWindows Server 2016/2019/2022

 最大深刻度は「緊急」(リモートでコードが実行される)。今回のアップデートにはセキュリティ修正に加え、プレビューパッチ(Cリリース)や定例外パッチでの改善が含まれる。

関連記事

 Windows 11で発生していたRyzenプロセッサーのパフォーマンス低下問題は、今回のパッチとAMDがリリースしたチップセットドライバーの組み合わせで解決できる。

[2021年11月12日編集部追記] Windows 10 バージョン 1909向けの更新プログラム「KB5007189」では、IPP(Internet Printing Protocol)を使用したプリンターのインストールに失敗する問題も修正されている。

 「Windows 10 バージョン 2004/20H2/21H1」のOSコアは共通になっており、「イネーブルメント パッケージ」と呼ばれるパッチで機能のみを切り替える仕組みになっている。そのため、更新プログラムの内容は同一だ。

 また、「バージョン 2004」全エディションは今年の12月14日にサポート期間の満了を迎える。できるだけ早めに後継バージョンへの移行を検討すべきだろう。

Windows 8.1およびWindows Server 2012/2012 R2

 最大深刻度は「重要」(リモートでコードが実行される)。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。

  • Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ:KB5007247
  • Windows 8.1/Windows Server 2012 R2 セキュリティのみ:KB5007255
  • Windows Server 2012 マンスリー ロールアップ:KB5007260
  • Windows Server 2012 セキュリティのみ:KB5007245

 なお、企業向けの有償延長サポート「拡張セキュリティ更新プログラム(ESU)」に加入している顧客にはWindows 7とWindows Server 2008/2008 R2向けにもパッチが提供される。

Microsoft Office関連のソフトウェア

 最大深刻度は「重要」(リモートでコードが実行される)。詳細は以下のドキュメントを参照のこと。

Internet Explorer/Microsoft Edge

 「Internet Explorer」に関する脆弱性修正は案内されていない。

 「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間10月29日にリリースされたv95.0.1020.40。

関連記事

 加えて、「IE モード」におけるスプーフィング(なりすまし)の問題(CVE-2021-41351、Important)が解決されているとのこと。

Microsoft SharePoint

 「Microsoft SharePoint Enterprise Server 2013 Service Pack 1」では、1件の脆弱性が修正された。

  • CVE-2021-40442(重要:リモートでコードが実行される)

Microsoft Dynamics

 「Microsoft Dynamics 365」では、1件の脆弱性が修正された。

  • CVE-2021-42316(緊急:リモートでコードが実行される)

Microsoft Exchange Server

 「Microsoft Exchange Server」関連では、3件の脆弱性が修正された。「CVE-2021-42321」はゼロデイ脆弱性なので注意したい。公式コミュニティページの案内も参照のこと。

そのほかの製品

 そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。

  • Visual Studio Code:1件(重要:1件)
  • Remote Desktop client for Windows Desktop:2件(緊急:1件、重要:1件)
  • Power BI Report Server:1件(重要:1件)
  • Microsoft Visual Studio 2019 version 16.9:3件(緊急:1件、重要:2件)
  • Microsoft Visual Studio 2019 version 16.7:3件(緊急:1件、重要:2件)
  • Microsoft Visual Studio 2019 version 16.11:3件(緊急:1件、重要:2件)
  • Microsoft Visual Studio 2017 version 15.9:3件(緊急:1件、重要:2件)
  • Microsoft Visual Studio 2015 Update 3:1件(重要:1件)
  • Microsoft SharePoint Enterprise Server 2013 Service Pack:1件(重要:1件)
  • Microsoft Malware Protection Engine:1件(緊急:1件)
  • FSLogix:1件(重要:1件)
  • Azure RTOS:6件(重要:6件)
  • 3D Viewer:2件(重要:2件)