ニュース

今年最後のMicrosoftセキュリティ更新、ゼロデイ1件を含む67件の脆弱性に対処【14:00追記】

「Windows 10 バージョン 2004」はサポート期間が終了

2021年12月15日 10:25

2021年12月のセキュリティ更新プログラム

 米Microsoftは12月14日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー、Bリリース)。現在、「Windows Update」や「Microsoft Update Catalog」から入手可能。以下のMicrosoft製品に対しても、セキュリティアップデートが提供されている。

  • Windows Media
  • Microsoft Windows Codecs Library
  • Microsoft Defender for IoT
  • Internet Storage Name Service
  • Microsoft Local Security Authority Server (lsasrv)
  • Windows Encrypting File System (EFS)
  • Windows DirectX
  • Microsoft Message Queuing
  • Windows Remote Access Connection Manager
  • Windows Common Log File System Driver
  • Azure Bot Framework SDK
  • Windows Storage Spaces Controller
  • Windows SymCrypt
  • Windows NTFS
  • Windows Event Tracing
  • Remote Desktop Client
  • Role: Windows Fax Service
  • Windows Storage
  • Windows Update Stack
  • Windows Kernel
  • Windows Digital TV Tuner
  • Role: Windows Hyper-V
  • Windows TCP/IP
  • Office Developer Platform
  • Microsoft Office
  • ASP.NET Core & Visual Studio
  • Visual Studio Code
  • Microsoft Devices
  • Windows Print Spooler Components
  • Windows Mobile Device Management
  • Windows Installer
  • Microsoft PowerShell

 今月のパッチでは、CVE番号ベースで67件の脆弱性が修正された。このうち、深刻度「Critical」は7件。

  • CVE-2021-43215:iSNS サーバーのメモリ破損の脆弱性により、リモートでコードが実行される可能性がある
  • CVE-2021-43899:Microsoft 4K ワイヤレス ディスプレイ アダプターのリモートでコードが実行される脆弱性
  • CVE-2021-42310:Microsoft Defender for IoT のリモートでコードが実行される脆弱性
  • CVE-2021-43905:Microsoft Office アプリのリモートでコードが実行される脆弱性
  • CVE-2021-43233:リモート デスクトップ クライアントのリモートでコードが実行される脆弱性
  • CVE-2021-43907:Visual Studio Code WSL Extension Remote Code Execution Vulnerability
  • CVE-2021-43217:Windows Encrypting File System (EFS) のリモートでコードが実行される脆弱性

 すでに悪用の事実が確認されているゼロデイ脆弱性は1件。深刻度は「Important」。

 また、以下の5件はすでに内容が公になっている。深刻度はすべて「Important」。悪用はまだ確認されていないが、できるだけ早めの対策を心掛けたい。

  • CVE-2021-43240:NTFS Set Short Name の特権の昇格の脆弱性
  • CVE-2021-43893:Windows Encrypting File System (EFS) の特権の昇格の脆弱性
  • CVE-2021-43883:Windows インストーラーの特権の昇格の脆弱性
  • CVE-2021-43880:Windows モバイル デバイス管理の特権の昇格の脆弱性
  • CVE-2021-41333:Windows 印刷スプーラーの特権の昇格の脆弱性

 なお、今月は年末年始の休暇のためCリリースはない。年内はこのBリリースが最後のアップデートとなる見込みだ。

関連記事

Windows 10/11およびWindows Server 2016/2019/2022

 最大深刻度は「緊急」(リモートでコードが実行される)。今回のアップデートにはセキュリティ修正に加え、プレビューパッチ(Cリリース)や定例外パッチでの改善が含まれる。

関連記事

 「Windows 10 バージョン 2004」以降のOSコアは共通になっており、「イネーブルメント パッケージ」と呼ばれるパッチで機能のみを切り替える仕組みになっている。そのため、更新プログラムの内容は同一だ。

 また、「バージョン 2004」全エディションはサポート期間満了につき、今回が最後のアップデートとなる。

Windows 8.1およびWindows Server 2012/2012 R2

 最大深刻度は「緊急」(リモートでコードが実行される)。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。

  • Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ:KB5008263
  • Windows 8.1/Windows Server 2012 R2 セキュリティのみ:KB5008285
  • Windows Server 2012 マンスリー ロールアップ:KB5008277
  • Windows Server 2012 セキュリティのみ:KB5008255

 なお、企業向けの有償延長サポート「拡張セキュリティ更新プログラム(ESU)」に加入している顧客にはWindows 7とWindows Server 2008/2008 R2向けにもパッチが提供される。

Microsoft Office関連のソフトウェア

 最大深刻度は「重要」(リモートでコードが実行される)。詳細は以下のドキュメントを参照のこと。

Internet Explorer/Microsoft Edge

 「Internet Explorer」に関する脆弱性修正は案内されていない。

 「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間12月10日にリリースされたv96.0.1054.53。

関連記事

 近々スクリプトエンジン「V8」における解放後メモリ利用のゼロデイ脆弱性が修正されるはずなので注意したい。

[2021年12月15日14:00編集部追記] 12月14日付で「V8」における解放後メモリ利用のゼロデイ脆弱性を修正した「Microsoft Edge」v96.0.1054.57が公開された。

関連記事

Microsoft SharePoint

 「Microsoft SharePoint」関連では、4件の脆弱性が修正された。

.NET/ASP.NET

 .NETやASP.NET関連のセキュリティアップデートに関しては、公式ブログを参照のこと。

そのほかの製品

 そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。

  • VP9 Video Extensions:1件(重要:1件)
  • Visual Studio Code WSL Extension:1件(緊急:1件)
  • Visual Studio Code:2件(重要:2件)
  • Raw Image Extension:1件(重要:1件)
  • PowerShell 7.2:1件(重要:1件)
  • Microsoft Defender for IoT:10件(緊急:1件、重要:9件)
  • Microsoft BizTalk ESB Toolkit 2.4:1件(重要:1件)
  • Microsoft BizTalk ESB Toolkit 2.3:1件(重要:1件)
  • Microsoft BizTalk ESB Toolkit 2.2:1件(重要:1件)
  • Microsoft 4K Wireless Display Adapter:1件(緊急:1件)
  • HEVC Video Extensions:3件(重要:3件)
  • Bot Framework SDK for .NET Framework:1件(重要:1件)