ニュース

Microsoftの2021年11月セキュリティ更新、ゼロデイ2件を含む55件の脆弱性に対処【11月12日追記】

Windows 10 バージョン 1909でもIPPによるプリンターのインストールに失敗する問題が修正

樽井秀人

2021年11月10日 06:45

2021年11月のセキュリティ更新プログラム

　米Microsoftは11月9日（現地時間）、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした（パッチチューズデー、Bリリース）。現在、「Windows Update」や「Microsoft Update Catalog」から入手可能。以下のMicrosoft製品に対しても、セキュリティアップデートが提供されている。

　今月のパッチでは、55件の脆弱性が修正された（内、深刻度「Critical」は6件）。以下の2件は、すでに攻撃が確認されているゼロデイ脆弱性となっており一刻も早い対処が必要。

CVE-2021-42292：Microsoft Excel のセキュリティ機能のバイパスの脆弱性（Important）
CVE-2021-42321：Microsoft Exchange Server のリモートでコードが実行される脆弱性（Important）

　また、以下の4件はすでに攻撃手法が公になっている。悪用はまだ確認されていないが、できるだけ早めの対策を心掛けたい。

CVE-2021-43208：3D ビューアーのリモートでコードが実行される脆弱性（Important）
CVE-2021-43209：3D ビューアーのリモートでコードが実行される脆弱性（Important）
CVE-2021-38631：Windows リモートデスクトッププロトコル (RDP) の情報漏えいの脆弱性（Important）
CVE-2021-41371：Windows リモートデスクトッププロトコル (RDP) の情報漏えいの脆弱性（Important）

Windows 10/11およびWindows Server 2016/2019/2022

　最大深刻度は「緊急」（リモートでコードが実行される）。今回のアップデートにはセキュリティ修正に加え、プレビューパッチ（Cリリース）や定例外パッチでの改善が含まれる。

　Windows 11で発生していたRyzenプロセッサーのパフォーマンス低下問題は、今回のパッチとAMDがリリースしたチップセットドライバーの組み合わせで解決できる。

Windows 11（original release）：KB5007215
Windows 10 バージョン 21H1：KB5007186
Windows 10 バージョン 20H2：KB5007186
Windows 10 バージョン 2004：KB5007186
Windows 10 バージョン 1909：KB5007189
Windows Server 2022：KB5007205
Windows Server 2019：KB5007206
Windows Server 2016：KB5007192

［2021年11月12日編集部追記］ Windows 10 バージョン 1909向けの更新プログラム「KB5007189」では、IPP（Internet Printing Protocol）を使用したプリンターのインストールに失敗する問題も修正されている。

　「Windows 10 バージョン 2004/20H2/21H1」のOSコアは共通になっており、「イネーブルメントパッケージ」と呼ばれるパッチで機能のみを切り替える仕組みになっている。そのため、更新プログラムの内容は同一だ。

　また、「バージョン 2004」全エディションは今年の12月14日にサポート期間の満了を迎える。できるだけ早めに後継バージョンへの移行を検討すべきだろう。

Windows 8.1およびWindows Server 2012/2012 R2

　最大深刻度は「重要」（リモートでコードが実行される）。「セキュリティのみ」と「マンスリーロールアップ」の2種類が用意されているが、可能な限り「マンスリーロールアップ」の適用が推奨されているので注意したい。

Windows 8.1/Windows Server 2012 R2 マンスリーロールアップ：KB5007247
Windows 8.1/Windows Server 2012 R2 セキュリティのみ：KB5007255
Windows Server 2012 マンスリーロールアップ：KB5007260
Windows Server 2012 セキュリティのみ：KB5007245

　なお、企業向けの有償延長サポート「拡張セキュリティ更新プログラム（ESU）」に加入している顧客にはWindows 7とWindows Server 2008/2008 R2向けにもパッチが提供される。

Microsoft Office関連のソフトウェア

　最大深刻度は「重要」（リモートでコードが実行される）。詳細は以下のドキュメントを参照のこと。

Internet Explorer/Microsoft Edge

　「Internet Explorer」に関する脆弱性修正は案内されていない。

　「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間10月29日にリリースされたv95.0.1020.40。

　加えて、「IE モード」におけるスプーフィング（なりすまし）の問題（CVE-2021-41351、Important）が解決されているとのこと。

Microsoft SharePoint

　「Microsoft SharePoint Enterprise Server 2013 Service Pack 1」では、1件の脆弱性が修正された。

CVE-2021-40442（重要：リモートでコードが実行される）

Microsoft Dynamics

　「Microsoft Dynamics 365」では、1件の脆弱性が修正された。

CVE-2021-42316（緊急：リモートでコードが実行される）

Microsoft Exchange Server

　「Microsoft Exchange Server」関連では、3件の脆弱性が修正された。「CVE-2021-42321」はゼロデイ脆弱性なので注意したい。公式コミュニティページの案内も参照のこと。

CVE-2021-41349（重要：なりすまし）
CVE-2021-42305（重要：なりすまし）
CVE-2021-42321（重要：リモートでコードが実行される）

そのほかの製品

　そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。

Visual Studio Code：1件（重要：1件）
Remote Desktop client for Windows Desktop：2件（緊急：1件、重要：1件）
Power BI Report Server：1件（重要：1件）
Microsoft Visual Studio 2019 version 16.9：3件（緊急：1件、重要：2件）
Microsoft Visual Studio 2019 version 16.7：3件（緊急：1件、重要：2件）
Microsoft Visual Studio 2019 version 16.11：3件（緊急：1件、重要：2件）
Microsoft Visual Studio 2017 version 15.9：3件（緊急：1件、重要：2件）
Microsoft Visual Studio 2015 Update 3：1件（重要：1件）
Microsoft SharePoint Enterprise Server 2013 Service Pack：1件（重要：1件）
Microsoft Malware Protection Engine：1件（緊急：1件）
FSLogix：1件（重要：1件）
Azure RTOS：6件（重要：6件）
3D Viewer：2件（重要：2件）