Microsoftが今年最後の「パッチ火曜日」で重要なセキュリティパッチを配布

2020年最後のMicrosoftの「Patch Tuesday（パッチ火曜日）」は、セキュリティパッチが非常に多く、ほとんどのMicrosoft製品に影響するバグを修正しています。

2020年12月のPatch Tuesdayは今年最大ではなかったかもしれませんが、9つの重要な修正が含まれ、一般ユーザー向けのバグの修正は全部で58ありました。

2020年12月のパッチ火曜日の内容

「Patch Tuesday」とは、Microsoftやその他の主要なテクノロジー企業が月に1度セキュリティパッチをリリースする日で、毎月第2火曜日（米国時間）がそれに当たります。

セキュリティパッチは、重大な脆弱性を修正するものから基本的な問題を修正するものまで多岐にわたります。

Microsoft の2020年最後のPatch Tuesdayは、脆弱性の修正に関しては今年2番目に少なかったのですが、すぐに修正する必要がある重要なセキュリティの脆弱性の修正が9つも含まれていました。

Patch Tuesdayには、Windows 10、Microsoft Edge、Microsoft Office、Exchange Serverなど、さまざまなMicrosoft Azure製品のバグの修正が含まれています。

深刻度が高い「緊急」と評価された9つのバグのうち、8つはすべてリモートコード実行の脆弱性の修正であり、Microsoft Dynamics 365、Microsoft Exchange、Microsoft SharePointに影響を及ぼします。

最終的な修正により、Chakraスクリプトエンジンによる深刻なメモリー破損の脆弱性が修正されます。

リモートでコードが実行される脆弱性に関わるパッチは、なるべく早くインストールすることが非常に大切です。リモートでコードが実行されると、攻撃者は遠隔でコンピューターにアクセスして変更を加えることができるからです。

これらの問題が影響を与えるMicrosoft製品の多くは企業向けなので、脆弱性にパッチを適用することが重要です。ただし、この記事の執筆時点では、こうした重大な脆弱性のどれかが実際に悪用されている兆候はありません。

ブラウザ関連のセキュリティパッチが驚くほど不足しています。ゼロデイ脆弱性を追求する組織である「Zero Day Initiative」のDustin Childs氏は、次のように書いています。

深刻度が高いと評価された残りのアップデートを見ると、（驚くべきことに）ブラウザに影響を与えるものは1つしかありません。そのパッチは、JITコンパイラー内のバグを修正します。

攻撃者はJavaScriptでアクションを実行することにより、メモリーの破損状態を引き起こし、それがコードの実行につながります。

ブラウザのアップデートがないのは、ホリデーシーズンにヘタなパッチがブラウザに悪影響を与えてオンラインショッピングを中断することがないようにというMicrosoftの意識的な決定である可能性もあります。

深刻でないセキュリティパッチもある

マイクロソフトは、深刻な脆弱性の修正に加えて、「重要」と評価された46の修正と、「中程度」と評価された3つの修正をリリースしました。

重要な修正には、Microsoft Officeプログラムの脆弱性がいくつか含まれており、それにはExcel、PowerPoint、Outlookのリモートコード実行の脆弱性も含まれています。

それ以外のMicrosoft製品で重要なセキュリティパッチを受け取るのは、SharePoint、Microsoft Exchange、Dynamics CRM、Visual Code Studio、Windowsエラー報告、そして、さまざまなAzure製品です。

次のPatch Tuesdayはいつ？

12月のPatch Tuesdayは、毎年その年で一番軽くなります。それは、Microsoftが、毎月インストールする必要があるセキュリティパッチをどんどんリリースしていくので、12月は少し余裕が出るためです。

それでも、Microsoft製品のセキュリティパッチが利用可能になったら、できるだけ早くインストールしましょう。

Microsoftは2020年に1200以上のパッチを発行しました。これは、2019年の840を大幅に上回っています。

2020-12-13 22:35:20