ニュース
Microsoft製品の月例セキュリティ更新が公開 ~今月は深刻度「Critical」の問題はなし
ただし、エクスプロイトが公開されている脆弱性が1件。油断は禁物
2022年2月9日 08:04
米Microsoftは2月8日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー、Bリリース)。現在、「Windows Update」や「Microsoft Update Catalog」から入手可能。以下のMicrosoft製品に対しても、セキュリティアップデートが提供されている。
- Azure Data Explorer
- Kestrel Web Server
- Microsoft Dynamics
- Microsoft Dynamics GP
- Microsoft Edge (Chromium ベース)
- Microsoft Office
- Microsoft Office Excel
- Microsoft Office Outlook
- Microsoft Office SharePoint
- Microsoft Office Visio
- Microsoft OneDrive
- Microsoft Teams
- Microsoft Windows Codecs Library
- Power BI
- Roaming Security Rights Management Services
- ロール: DNS サーバー
- ロール: Windows Hyper-V
- SQL Server
- Visual Studio Code
- Windows 共通ログ ファイル システム ドライバー
- Microsoft DWM Core ライブラリ
- Windows カーネル
- Windows カーネルモード ドライバー
- Windows 名前付きパイプ ファイル システム
- Windows 印刷スプーラー コンポーネント
- Windows Remote Access Connection Manager
- Windows リモート プロシージャ コール ランタイム
- Windows ユーザー アカウント プロファイル
- Windows Win32K
今月のパッチでは、CVE番号ベースで51件の脆弱性が対処された。「Critical」と評価されている致命的な問題はなく、最大深刻度は「Important」となっている。
ただし、Windows カーネルの特権の昇格の脆弱性「CVE-2022-21989」に関しては、実際の悪用事例こそ報告されていないものの、内容はすでに公開されている。今後の攻撃に使われることも十分予想されるので、できるだけ早い対応を心掛けたい。
Windows 10/11およびWindows Server 2016/2019/2022
最大深刻度は「重要」(リモートでコードが実行される)。セキュリティ修正に加え、2022年1月パッチが原因で引き起こされた諸問題を解決する緊急パッチの内容や、Cリリースで実施された改善や変更も含まれる。
- Windows 11(original release):KB5010386
- Windows 10 バージョン 21H2:KB5010342
- Windows 10 バージョン 21H1:KB5010342
- Windows 10 バージョン 20H2:KB5010342
- Windows Server 2022:KB5010354
- Windows Server 2019:KB5010351
- Windows Server 2016:KB5010359
「Windows 10 バージョン 2004」以降のWindows 10のOSコアは共通で、「イネーブルメント パッケージ」と呼ばれるパッチで差分機能のみを切り替える仕組みになっている。そのため、更新プログラムの内容は同一だ。
Windows 8.1およびWindows Server 2012/2012 R2
最大深刻度は「重要」(特権の昇格)。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。
- Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ:KB5010419
- Windows 8.1/Windows Server 2012 R2 セキュリティのみ:KB5010395
- Windows Server 2012 マンスリー ロールアップ:KB5010392
- Windows Server 2012 セキュリティのみ:KB5010412
なお、企業向けの有償延長サポート「拡張セキュリティ更新プログラム(ESU)」に加入している顧客にはWindows 7とWindows Server 2008/2008 R2向けにもパッチが提供される。
Microsoft Office関連のソフトウェア
最大深刻度は「重要」(リモートでコードが実行される)。詳細は以下のドキュメントを参照のこと。
Internet Explorer/Microsoft Edge
「Internet Explorer」に関する脆弱性修正は案内されていない。
「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間2月3日にリリースされたv98.0.1108.43。
Microsoft SharePoint
「Microsoft SharePoint」関連では、3件の脆弱性が修正された。
- CVE-2022-21968(重要:セキュリティ機能のバイパス)
- CVE-2022-21987(重要:なりすまし)
- CVE-2022-22005(重要:リモートでコードが実行される)
Microsoft Dynamics
「Microsoft Dynamics」関連では、6件の脆弱性が修正された。
- CVE-2022-23269(重要:なりすまし)
- CVE-2022-23271(重要:特権の昇格)
- CVE-2022-23272(重要:特権の昇格)
- CVE-2022-23273(重要:特権の昇格)
- CVE-2022-23274(重要:リモートでコードが実行される)
- CVE-2022-21957(重要:リモートでコードが実行される)
そのほかの製品
そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。
- VP9 Video Extensions:1件(重要:1件)
- Visual Studio Code:1件(重要:1件)
- Visual Studio 2019 for Mac version 8.10:1件(重要:1件)
- SQL Server 2019 for Linux Containers:1件(重要:1件)
- PowerBI-client JS SDK:1件(重要:1件)
- OneDrive for Android:1件(重要:1件)
- Microsoft Visual Studio 2022 version 17.0:1件(重要:1件)
- Microsoft Visual Studio 2019 version 16.9:1件(重要:1件)
- Microsoft Visual Studio 2019 version 16.11:1件(重要:1件)
- Microsoft Teams for iOS:1件(重要:1件)
- Microsoft Teams for Android:1件(重要:1件)
- Microsoft Teams Admin Center:1件(重要:1件)
- HEVC Video Extensions:3件(重要:3件)
- Azure Data Explorer:1件(重要:1件)