2021 年 2 月のセキュリティ更新プログラム (月例)

2021 年 2 月 10 日 (日本時間)、マイクロソフトは以下のソフトウェアのセキュリティ更新プログラムを公開しました。

• .NET Core
• .NET Framework
• Azure IoT
• Developer Tools
• Microsoft Azure Kubernetes Service
• Microsoft Dynamics
• Microsoft Edge for Android
• Microsoft Exchange Server
• Microsoft Graphics Component
• Microsoft Office Excel
• Microsoft Office SharePoint
• Microsoft Windows Codecs Library
• Role: DNS Server
• Role: Hyper-V
• Role: Windows Fax Service
• Skype for Business
• SysInternals
• System Center
• Visual Studio
• Windows Address Book
• Windows Backup Engine
• Windows Console Driver
• Windows Defender
• Windows DirectX
• Windows Event Tracing
• Windows Installer
• Windows Kernel
• Windows Mobile Device Management
• Windows Network File System
• Windows PFX Encryption
• Windows PKU2U
• Windows PowerShell
• Windows Print Spooler Components
• Windows Remote Procedure Call
• Windows TCP/IP
• Windows Trust Verification API

新規セキュリティ更新プログラムを公開すると共に、既存の脆弱性情報 2 件の更新を行いました。なお、今月の「悪意のあるソフトウェアの削除ツール」では、新たに Solorigate に対する定義ファイルが追加されています。

■ セキュリティ更新プログラム、セキュリティ アドバイザリに関する主な注意点

• 2020 年 8 月の定例リリースに公開された CVE-2020-1472 (Netlogon) は、予定通り、今月公開したセキュリティ更新プログラムを適用することで強制モードが有効となります。この強制モードでは、「安全な RPC (Secure RPC)」の利用が強制され、すべての非準拠のアカウントからの接続は拒否されます。このセキュリティ更新プログラムはフォレスト内のすべてのドメインコントローラに適用する必要があります。詳細はサポート技術情報 4557222 および、セキュリティチームのブログをご参照ください。
• 2021 年 3 月 9 日 (米国時間) に、Microsoft Edge (EdgeHTML-based) のサポートは終了する予定です。そのため 2021 年 4 月 13 日 (米国時間) に公開予定の Windows 10 のセキュリティ更新プログラムの一部として新しい Microsoft Edge (Chromium-based) が提供され、Microsoft Edge (EdgeHTML-based) が削除される予定です。Microsoft Edge (EdgeHTML-based) をお使いの場合は、早めに移行することをお勧めします。詳細は、Microsoft 365 Blog (英語情報) をご参照ください。
• CVSS スコアで、攻撃元区分が「ネットワーク」 (AV:N)、必要な特権レベルが「なし」 (PR:N)、ユーザー関与レベルが「なし」 (UI:N) で、リモートでコードが実行される脆弱性は、ワーム可能で急激に拡散する可能性があります。今月の脆弱性では TCP/IP (詳細は MSRC ブログ (英語情報) にて解説) や、DNS Server (CVE-2021-24078)、Fax (CVE-2021-1722/CVE-2021-24077)、.NET Core/Visual Studio (CVE-2021-26701)、.NET Core for Linux (CVE-2021-24112) の脆弱性が該当します。また、上記 TCP/IP の脆弱性に関する MSRC ブログの日本語抄訳を公開しています。
• 2021 年 2 月の定例に公開された Exchange Server の脆弱性情報 CVE-2021-1730 に対応するセキュリティ更新は、2020 年 9 月にリリースした Exchange Server 2016 CU18 と Exchange Server 2019 CU7 に含まれています。
• UAC が有効になっているサーバー上で、Exchange 向けの更新プログラムを標準モード (管理者権限ではなく) で手動でインストールした際に、いくつかのファイルが正しく更新されず、OWA や ECP が正常に動作しない可能性があります。管理者権限で更新プログラムをインストールすることをお勧めします。詳細は、サポート技術情報 4602269 をご参照ください。
• 2021 年 2 月 11 日 (米国時間) に、2021 年 2 月の定例に公開した Windows 10 1909 向けのセキュリティ更新プログラムを適用後に確認されていた、WPA3 を使って接続しようとするとブルースクリーンになる問題を修正した更新プログラム 5001028 を定例外にて公開しています。詳細は、サポート技術情報 5001028 をご参照ください。
• 2021 年 2 月 12 日 (米国時間) に、2021 年 2 月の定例に公開した Windows 10 1607/Windows Server 2016 向けのサービススタック更新 (4601392) と Windows 10 1507 向けのサービススタック更新 (4601390) を適用後に確認されていた、Windows Update の問題に対応するために、4601392 と 4601390 の公開を中止して 5001078 と 5001079 を定例外にて公開しています。対応方法の詳細は、Windows 10 のリリース情報およびサポート技術情報 5001078 / 5001079 をご参照ください。

お客様はできるだけ早期に、今月公開のセキュリティ更新プログラムを適用するようお願いします。

■ 2021 年 2 月のセキュリティ更新プログラム

セキュリティの脆弱性および更新プログラムの情報を、CVE、KB 番号、製品、またはリリース日別に並べ替えたりフィルターをかけたりすることができます。

セキュリティ更新プログラム ガイド

各月のセキュリティ更新プログラムを絞り込むには、日付範囲に絞り込む月の第 2 火曜日を指定して検索してください。

なお、セキュリティ更新プログラム ガイド API を活用して、自社に特化したカスタム レポートを作成することができます。API の活用方法を紹介する 6 つのビデオ (API の情報 (GitHub)、API へのアクセス、HTML ファイルの出力、Excel へのエクスポート、CVE リストの取得、KB リストの取得) を公開していますので、是非ご活用ください。

マイクロソフトは新たに確認した脆弱性について、下記の新しいセキュリティ更新プログラムを公開しました。

■ 既存の脆弱性情報の更新

• CVE-2021-1692 (Hyper-V) を更新しました。
• CVE-2020-1472 (Netlogon) を更新しました。

最新のサービス スタック更新プログラム (SSU) は、アドバイザリ ADV990001 にてご確認ください。

次回のセキュリティ更新プログラムのリリースは、3 月 10 日 (日本時間) を予定しています。詳しくは、年間スケジュールを参照してください。

* 2021 年 02 月 12 日: TCP/IP の脆弱性に関する日本語記事の公開とサポート技術情報 5001028 の公開を追加しました。

* 2021 年 02 月 15 日:サポート技術情報 5001078 / 5001079 の公開を追加しました。