2018年9月のセキュリティ更新プログラム (月例)
Japan Security Team / September 11, 2018 / 15 min read
2018年9月12日(日本時間)、マイクロソフトは以下のソフトウェアのセキュリティ更新プログラムを公開しました。
- Internet Explorer
- Microsoft Edge
- Microsoft Windows
- Microsoft Office、Microsoft Office ServersおよびWeb Apps
- ChakraCore
- Adobe Flash Player
- .NET Framework
- Microsoft.Data.OData
- ASP.NET
新規セキュリティ更新プログラムを公開すると共に、新規のセキュリティアドバイザリ2件の公開、既存のセキュリティアドバイザリ2件の更新、既存の脆弱性情報1件の更新を行いました。なお、今月の「悪意のあるソフトウェアの削除ツール」では、新たに対応を追加したファミリはありません。
なお、今月のWindows用のセキュリティ更新プログラムで以下を含む問題が解決されています。
Windows 7 / Windows 8.1上のInternet Explorer 11にて確認されていた、リダイレクト時に空白ページが表示される問題(関連KB 4343205 / 4343900)に対する修正は、今月リリースしたセキュリティ更新プログラムに含まれています。
お客様はできるだけ早期に、今月公開のセキュリティ更新プログラムを適用するようお願いします。
セキュリティ更新プログラム・セキュリティアドバイザリに関する主な注意点
- 今月のセキュリティ更新プログラムより、Windows Server 2008はロールアップモデルでの更新プログラムの提供を開始しました。月例のロールアップ4458010とセキュリティのみの更新プログラム4457984の2つの更新プログラムをリリースしています。
- UACが有効になっているサーバー上で、Exchange向けの更新プログラムを標準モード(管理者権限ではなく)で手動でインストールした際に、いくつかのファイルが正しく更新されず、OWAやECPが正常に動作しない可能性があります。管理者権限で更新プログラムをインストールすることをお勧めします。詳細は、サポート技術情報4458321をご参照ください。
- アドバイザリADV180002を更新し、CVE-2017-5715(Spectre, Variant 2)に対するARM64版のWindows 10 1803向けのセキュリティ更新プログラムを公開するとともに、ファームウェアアップデートに関するFAQを追加しました。
- アドバイザリADV180018を更新し、CVE-2018-3620とCVE-2018-3646に対するWindows Server 2008向けの月例のロールアップ4458010とセキュリティのみの更新プログラム4457984をリリースしました。先月リリースした4341832に加えて、今月のセキュリティ更新プログラムもインストールすることをお勧めします。
- アドバイザリADV180022を公開し、Windows DoSの脆弱性(“FragmentSmack”: CVE-2018-5391)に関するセキュリティ更新プログラムをリリースしました。
既存の脆弱性情報の更新(1件)
下記の脆弱性情報のセキュリティ更新プログラムの一部が再リリースされています。再リリースされたセキュリティ更新プログラムは既に適用済みのコンピューターにも再インストールする必要があります。詳細は、セキュリティの脆弱性情報を参照してください。
- CVE-2018-8154 包括的にCVE-2018-8154へ対応するため、Exchange Server 2010 Service Pack 3向けにセキュリティ更新プログラム4458321をリリースしました。この脆弱性から完全に保護するために、該当の更新プログラムをインストールすることをお勧めします。
2018年9月のセキュリティ更新プログラム
セキュリティの脆弱性および更新プログラムの情報を、CVE、KB番号、製品、またはリリース日別に並べ替えたりフィルターをかけたりすることができます。
セキュリティ更新プログラムガイド
各月のセキュリティ更新プログラムを絞り込むには、日付範囲に絞り込む月の第2火曜日を指定して検索してください。
なお、セキュリティ更新プログラムガイドAPIを活用して、自社に特化したカスタムレポートを作成することができます。APIの活用方法を紹介する6つのビデオ(APIの情報(GitHub)、APIへのアクセス、HTMLファイルの出力、Excelへのエクスポート、CVEリストの取得、KBリストの取得)を公開していますので、是非ご活用ください。
マイクロソフトは新たに確認した脆弱性について、下記の新しいセキュリティ更新プログラムを公開しました。
| 製品ファミリ | 最大深刻度 | 最も大きな影響 | 関連するサポート技術情報またはサポートのWebページ |
|---|---|---|---|
| Windows 10およびWindows Server 2016のすべてのバージョン(Microsoft Edgeを含まない) | 緊急 | リモートでコードが実行される | Windows 10 v1803: 4457128、Windows 10 v1709: 4457142、Windows 10 v1703: 4457138、Windows 10 v1607: 4457131、Windows 10: 4457132、Windows Server 2016: 4457131 |
| Microsoft Edge | 緊急 | リモートでコードが実行される | Microsoft Edge: 4457131、4457132、4457138、4457142、4457128 |
| Windows 8.1およびWindows Server 2012 R2 | 緊急 | リモートでコードが実行される | Windows 8.1およびWindows Server 2012 R2マンスリーロールアップ: 4457129、Windows 8.1およびWindows Server 2012 R2セキュリティのみ: 4457143 |
| Windows Server 2012 | 緊急 | リモートでコードが実行される | Windows Server 2012マンスリーロールアップ: 4457135、Windows Server 2012セキュリティのみ: 4457140 |
| Windows RT 8.1 | 緊急 | リモートでコードが実行される | Windows RT 8.1: 4457129(注: Windows RT 8.1の更新プログラムはWindows Updateからのみ入手できます) |
| Windows 7およびWindows Server 2008 R2 | 緊急 | リモートでコードが実行される | Windows 7およびWindows Server 2008 R2マンスリーロールアップ: 4457144、Windows 7およびWindows Server 2008 R2セキュリティのみ: 4457145 |
| Windows Server 2008 | 緊急 | リモートでコードが実行される | Windows Server 2008の更新プログラムは、マンスリーロールアップとセキュリティのみのパッケージで提供されるようになりました。Windows Server 2008マンスリーロールアップ: 4458010、Windows Server 2008セキュリティのみ: 4457984 |
| Internet Explorer | 緊急 | リモートでコードが実行される | Internet Explorer 9 IEマンスリーロールアップ: 4458010、Internet Explorer 9 IE累積的: 4457426、Internet Explorer 10マンスリーロールアップ: 4457135、Internet Explorer 10 IE累積的: 4457426、Internet Explorer 11マンスリーロールアップ: 4457129、4457144、Internet Explorer 11 IE累積的: 4457426、Internet Explorer 11セキュリティ更新プログラム: 4457128、4457132、4457131、4457138、4457142 |
| Microsoft Office関連のソフトウェア | 緊急 | リモートでコードが実行される | マンスリーセキュリティ更新プログラムのリリースのMicrosoft Officeに関連するサポート技術情報の記事の数は、CVEの数、および影響を受けるコンポーネントの数によって変わります。Officeの更新プログラムに関連するサポート技術情報は数件です。概要をお知らせする目的から、ここでは一部のみを掲載します。資料の詳細については、「セキュリティ更新プログラムガイド」を参照してください。 |
| Microsoft SharePoint関連のソフトウェア | 重要 | 特権の昇格 | Microsoft SharePoint関連のソフトウェア: 4092470、4092459、4022207 |
| .NET Framework | 緊急 | リモートでコードが実行される | .NET Frameworkのセキュリティ更新プログラムのリリースに関連するサポート情報の記事数は、CVEの数と影響を受けるコンポーネントの数によって変わります。今月リリースされる.NET Frameworkの更新プログラムに関連するサポート情報の記事は20件を超えます。概要をお知らせする目的から、ここでは一部のみを掲載します。 |
| ChakraCoreとASP.NET Core | 緊急 | リモートでコードが実行される | ChakraCoreはChakraのコア部分であり、HTML/CSS/JSで記述されたMicrosoft EdgeとWindowsアプリケーションを強化する高パフォーマンスのJavaScriptエンジンです。詳細については、https://github.com/Microsoft/ChakraCore/wiki を参照してください。.NET Coreは、MicrosoftとGitHubの.NETコミュニティが保守している汎用開発プラットフォームです。 |
| Adobe Flash Player | 緊急 | リモートでコードが実行される | Adobe Flash Playerのサポート技術情報: 4457146、Adobe Flash Playerのアドバイザリ: ADV180023 |
| C SDK for Azure IoTとMicrosoft.Data.OData | これらのテクノロジに対して新しくリリースされたセキュリティ更新プログラムの詳細については、以下のマイクロソフトセキュリティ更新プログラムガイドを参照してください。https://portal.msrc.microsoft.com/ |
次回のセキュリティ更新プログラムのリリースは、10月10日(日本時間)を予定しています。詳しくは、年間スケジュールを参照してください。