Microsoftは2021年2月10日(日本時間)、2021年2月の月例Windows UpdateとしてWindowsをはじめとしたセキュリティ更新プログラムを公開しました。セキュリティ脆弱性などの更新が含まれているので、Windows PCをお使いのユーザーは、なるべく早くアップデートを行いましょう。
今月のセキュリティ更新プログラムでは、Windowsのセキュリティ更新やバグ修正に関する計12件(緊急4件、重要8件)の新規セキュリティ情報を公開しています。
新規セキュリティ更新プログラムを公開すると共に、既存の脆弱性情報 2 件の更新を行いました。なお、今月の「悪意のあるソフトウェアの削除ツール」では、新たに Solorigate に対する定義ファイルが追加されています。
Windowsユーザーはできるだけ早く、2021年2月の公開セキュリティ更新プログラムを適用することが推奨されます。
今回、2021年2月10日(日本時間)公開のWindows Updateでセキュリティ更新プログラムを公開したMicrosoftのソフトウェアは以下の通りです。
- .NET Core
- .NET Framework
- Azure IoT
- Developer Tools
- Microsoft Azure Kubernetes Service
- Microsoft Dynamics
- Microsoft Edge for Android
- Microsoft Exchange Server
- Microsoft Graphics Component
- Microsoft Office Excel
- Microsoft Office SharePoint
- Microsoft Windows Codecs Library
- Role: DNS Server
- Role: Hyper-V
- Role: Windows Fax Service
- Skype for Business
- SysInternals
- System Center
- Visual Studio
- Windows Address Book
- Windows Backup Engine
- Windows Console Driver
- Windows Defender
- Windows DirectX
- Windows Event Tracing
- Windows Installer
- Windows Kernel
- Windows Mobile Device Management
- Windows Network File System
- Windows PFX Encryption
- Windows PKU2U
- Windows PowerShell
- Windows Print Spooler Components
- Windows Remote Procedure Call
- Windows TCP/IP
- Windows Trust Verification API
セキュリティ更新プログラム、セキュリティ アドバイザリに関する主な注意点
- 2020 年 8 月の定例リリースに公開された CVE-2020-1472 (Netlogon) は、予定通り、今月公開したセキュリティ更新プログラムを適用することで強制モードが有効となります。この強制モードでは、「安全な RPC (Secure RPC)」の利用が強制され、すべての非準拠のアカウントからの接続は拒否されます。このセキュリティ更新プログラムはフォレスト内のすべてのドメインコントローラに適用する必要があります。詳細はサポート技術情報 4557222 および、セキュリティチームのブログをご参照ください。
- 2021 年 3 月 9 日 (米国時間) に、Microsoft Edge (EdgeHTML-based) のサポートは終了する予定です。そのため 2021 年 4 月 13 日 (米国時間) に公開予定の Windows 10 のセキュリティ更新プログラムの一部として新しい Microsoft Edge (Chromium-based) が提供され、Microsoft Edge (EdgeHTML-based) が削除される予定です。Microsoft Edge (EdgeHTML-based) をお使いの場合は、早めに移行することをお勧めします。詳細は、Microsoft 365 Blog (英語情報) をご参照ください。
- CVSS スコアで、攻撃元区分が「ネットワーク」 (AV:N)、必要な特権レベルが「なし」 (PR:N)、ユーザー関与レベルが「なし」 (UI:N) で、リモートでコードが実行される脆弱性は、ワーム可能で急激に拡散する可能性があります。今月の脆弱性では TCP/IP (詳細は MSRC ブログ (英語情報) にて解説) や、DNS Server (CVE-2021-24078)、Fax (CVE-2021-1722/CVE-2021-24077)、.NET Core/Visual Studio (CVE-2021-26701)、.NET Core for Linux (CVE-2021-24112) の脆弱性が該当します。
- 2021 年 2 月の定例に公開された Exchange Server の脆弱性情報 CVE-2021-1730 に対応するセキュリティ更新は、2020 年 9 月にリリースした Exchange Server 2016 CU18 と Exchange Server 2019 CU7 に含まれています。
- UAC が有効になっているサーバー上で、Exchange 向けの更新プログラムを標準モード (管理者権限ではなく) で手動でインストールした際に、いくつかのファイルが正しく更新されず、OWA や ECP が正常に動作しない可能性があります。管理者権限で更新プログラムをインストールすることをお勧めします。詳細は、サポート技術情報 4602269 をご参照ください。
2021年2月のセキュリティ更新プログラム
セキュリティの脆弱性および更新プログラムの情報を、CVE、KB 番号、製品、またはリリース日別に並べ替えたりフィルターをかけたりすることができます。
各月のセキュリティ更新プログラムを絞り込むには、日付範囲に絞り込む月の第 2 火曜日を指定して検索してください。
また、セキュリティ更新プログラム ガイド API を活用し、自社に特化したカスタム レポートを作成することができます。API の活用方法を紹介する 6 つのビデオ (API の情報 (GitHub)、API へのアクセス、HTML ファイルの出力、Excel へのエクスポート、CVE リストの取得、KB リストの取得) を公開していますので、是非ご活用ください。
Microsoftが新たに確認した脆弱性についての新しいセキュリティ更新プログラムとして下記の項目が公開されています。
最大深刻度「緊急」のセキュリティ更新情報
製品ファミリ:Windows 10 v20H2、v2004、v1909、v1809、v1803
■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
Windows 10 v2004 および Windows 10 v20H2: 4601319
Windows 10 v1909: 4601315
Windows 10 v1809: 4601345
Windows 10 v1803: 4601354
製品ファミリ:Windows Server 2019、Windows Server 2016、Server Core インストール (2019、2016、v20H2、v2004、v1909)
■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
Windows Server 2019: 4601345
Windows Server 2016: 4601318
Windows Server v2004 および Windows Server v20H2: 4601319
Windows Server v1909: 4601315
製品ファミリ:Windows 8.1、Windows Server 2012 R2、および Windows Server 2012
■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
Windows 8.1 および Windows Server 2012 R2 マンスリー ロールアップ: 4601384
Windows 8.1 および Windows Server 2012 R2 セキュリティのみ: 4601349
Windows Server 2012 マンスリー ロールアップ: 4601348
Windows Server 2012 セキュリティのみ: 4601357
製品ファミリ:Microsoft .NET 関連のソフトウェア
■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
4601318、 4601050、 4601887、 4603004、 4602960、 4603005、 4602961、 4601354、 4601056、 4603003、 4602959、 4603002、 4602958、 4601051、 4601054
最大深刻度「重要」のセキュリティ更新情報
製品ファミリ:Microsoft Office 関連のソフトウェア
■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
4493211、 4493222、 4493196、 4493192、 4493204
製品ファミリ:Microsoft SharePoint 関連のソフトウェア
■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
4493210、 4493194、 4493195、 4493223
製品ファミリ:Microsoft Lync/Skype for Business
■最も大きな影響を受ける内容
サービス拒否
■関連するサポート技術情報またはサポートのWebページ
5000675、 5000688
製品ファミリ:Microsoft Exchange Server
■最も大きな影響を受ける内容
なりすまし
■関連するサポート技術情報またはサポートのWebページ
4602269、 4571787
製品ファミリ:Microsoft Visual Studio
■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
Visual Studio 関連ソフトウェアのセキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイドを参照してください。 https://msrc.microsoft.com/update-guide
製品ファミリ:Microsoft Dynamics 関連のソフトウェア
■最も大きな影響を受ける内容
情報漏えい
■関連するサポート技術情報またはサポートのWebページ
4602915
製品ファミリ:Microsoft Azure 関連のソフトウェア
■最も大きな影響を受ける内容
特権の昇格
■関連するサポート技術情報またはサポートのWebページ
Azure 関連ソフトウェアのセキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイドを参照してください。 https://msrc.microsoft.com/update-guide
製品ファミリ:開発者ツール
■最も大きな影響を受ける内容
リモートでコードが実行される
■関連するサポート技術情報またはサポートのWebページ
開発者ツールのセキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイドを参照してください。 https://msrc.microsoft.com/update-guide
次回、2021年3月のWindows Update、セキュリティ更新プログラムのリリースは、3月10日(日本時間)の予定となっています。2021年の年間スケジュールについてはこちらを参照ください。
Source:Microsoft
