Microsoft、2021年12月の月例セキュリティアップデートリリース - ゼロデイ脆弱性修正
米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は12月14日(米国時間)、「Microsoft Releases December 2021 Security Updates|CISA」において、Microsoftが2021年12月版のセキュリティアップデートをリリースしたことを伝えた。
Microsoftは毎月第2火曜日に同社製品に対するセキュリティアップデートをまとめてリリースしている。今月のリリースでは、CVEベースで67件の脆弱性が修正されており、そこにはすでに悪用が確認されている1件のゼロデイ脆弱性が含まれている。
2021年12月のセキュリティアップデートに関する詳細は次のリリースノートにまとめられている。
2021 年 12 月のセキュリティ更新プログラム - リリース ノート - セキュリティ更新プログラム ガイド - Microsoft
アップデートの対象となっている製品は次のとおり。
Apps
ASP.NET Core と Visual Studio
Azure Bot Framework SDK
BizTalk ESB Toolkit
インターネット記憶域ネーム サービス
Microsoft Defender for IoT
Microsoft デバイス
Microsoft Edge (Chromium ベース)
Microsoft Local Security Authority Server (lsasrv)
Microsoft Message Queuing
Microsoft Office
Microsoft Office Access
Microsoft Office Excel
Microsoft Office SharePoint
Microsoft PowerShell
Microsoft Windows Codecs Library
Office Developer Platform
リモート デスクトップ クライアント
ロール: Windows Fax サービス
ロール: Windows Hyper-V
Visual Studio Code
Visual Studio Code - WSL Extension
Windows 共通ログ ファイル システム ドライバー
Windows Digital TV チューナー
Windows DirectX
Windows Encrypting File System (EFS)
Windows イベント トレーシング
Windows インストーラー
Windows カーネル
Windows Media
Windows モバイル デバイス管理
Windows NTFS
Windows 印刷スプーラー コンポーネント
Windows Remote Access Connection Manager
Windows Storage
Windows Storage Spaces Controller
Windows SymCrypt
Windows TCP/IP
Windows Update Stack
修正された脆弱性に関する個別の情報は、下記のセキュリティ更新プログラムガイドで調べることができる。
脆弱性 - セキュリティ更新プログラム ガイド - Microsoft
Microsoftによると、CVE-2021-43890として追跡されているWindows AppX Installerに関する次の1件の脆弱性については、すでに攻撃への悪用が確認されているという。
CVE-2021-43890 - セキュリティ更新プログラム ガイド - Microsoft - Windows AppX Installer Spoofing Vulnerability
そのほか、次の脆弱性は深刻度度が最も高い「Critical(緊急)」に分類されており、早急に更新プログラムを適用することが推奨されている。
CVE-2021-43215 - セキュリティ更新プログラム ガイド - Microsoft - iSNS サーバーのメモリ破損の脆弱性により、リモートでコードが実行される可能性がある
CVE-2021-43899 - セキュリティ更新プログラム ガイド - Microsoft - Microsoft 4K ワイヤレス ディスプレイ アダプターのリモートでコードが実行される脆弱性
CVE-2021-42310 - セキュリティ更新プログラム ガイド - Microsoft - Microsoft Defender for IoT のリモートでコードが実行される脆弱性
CVE-2021-43905 - セキュリティ更新プログラム ガイド - Microsoft - Microsoft Office アプリのリモートでコードが実行される脆弱性
CVE-2021-43233 - セキュリティ更新プログラム ガイド - Microsoft - リモート デスクトップ クライアントのリモートでコードが実行される脆弱性
CVE-2021-43907 - セキュリティ更新プログラム ガイド - Microsoft - Visual Studio Code WSL Extension Remote Code Execution Vulnerability
CVE-2021-43217 - セキュリティ更新プログラム ガイド - Microsoft - Windows Encrypting File System (EFS) のリモートでコードが実行される脆弱性
2021 年 12 月のセキュリティ更新プログラム - リリース ノート - セキュリティ更新プログラム ガイド
2021年12月のセキュリティアップデートに関する詳細は次のリリースノートにまとめられている。
2021 年 12 月のセキュリティ更新プログラム - リリース ノート - セキュリティ更新プログラム ガイド - Microsoft
アップデートの対象となっている製品は次のとおり。
Apps
ASP.NET Core と Visual Studio
Azure Bot Framework SDK
BizTalk ESB Toolkit
インターネット記憶域ネーム サービス
Microsoft Defender for IoT
Microsoft デバイス
Microsoft Edge (Chromium ベース)
Microsoft Local Security Authority Server (lsasrv)
Microsoft Message Queuing
Microsoft Office
Microsoft Office Access
Microsoft Office Excel
Microsoft Office SharePoint
Microsoft PowerShell
Microsoft Windows Codecs Library
Office Developer Platform
リモート デスクトップ クライアント
ロール: Windows Fax サービス
ロール: Windows Hyper-V
Visual Studio Code
Visual Studio Code - WSL Extension
Windows 共通ログ ファイル システム ドライバー
Windows Digital TV チューナー
Windows DirectX
Windows Encrypting File System (EFS)
Windows イベント トレーシング
Windows インストーラー
Windows カーネル
Windows Media
Windows モバイル デバイス管理
Windows NTFS
Windows 印刷スプーラー コンポーネント
Windows Remote Access Connection Manager
Windows Storage
Windows Storage Spaces Controller
Windows SymCrypt
Windows TCP/IP
Windows Update Stack
修正された脆弱性に関する個別の情報は、下記のセキュリティ更新プログラムガイドで調べることができる。
脆弱性 - セキュリティ更新プログラム ガイド - Microsoft
Microsoftによると、CVE-2021-43890として追跡されているWindows AppX Installerに関する次の1件の脆弱性については、すでに攻撃への悪用が確認されているという。
CVE-2021-43890 - セキュリティ更新プログラム ガイド - Microsoft - Windows AppX Installer Spoofing Vulnerability
そのほか、次の脆弱性は深刻度度が最も高い「Critical(緊急)」に分類されており、早急に更新プログラムを適用することが推奨されている。
CVE-2021-43215 - セキュリティ更新プログラム ガイド - Microsoft - iSNS サーバーのメモリ破損の脆弱性により、リモートでコードが実行される可能性がある
CVE-2021-43899 - セキュリティ更新プログラム ガイド - Microsoft - Microsoft 4K ワイヤレス ディスプレイ アダプターのリモートでコードが実行される脆弱性
CVE-2021-42310 - セキュリティ更新プログラム ガイド - Microsoft - Microsoft Defender for IoT のリモートでコードが実行される脆弱性
CVE-2021-43905 - セキュリティ更新プログラム ガイド - Microsoft - Microsoft Office アプリのリモートでコードが実行される脆弱性
CVE-2021-43233 - セキュリティ更新プログラム ガイド - Microsoft - リモート デスクトップ クライアントのリモートでコードが実行される脆弱性
CVE-2021-43907 - セキュリティ更新プログラム ガイド - Microsoft - Visual Studio Code WSL Extension Remote Code Execution Vulnerability
CVE-2021-43217 - セキュリティ更新プログラム ガイド - Microsoft - Windows Encrypting File System (EFS) のリモートでコードが実行される脆弱性
