マイクロソフトは、2020年8月12日(日本時間)、2020年8月のセキュリティ更新プログラム(月例パッチ)を公開した。該当するソフトウェアは以下の通り。

  • Microsoft Windows
  • Microsoft Edge(EdgeHTMLベース)
  • Microsoft Edge(Chromiumベース)
  • Microsoft ChakraCore
  • Internet Explorer
  • Microsoftスクリプトエンジン
  • SQL Server
  • Microsoft Jetデータベースエンジン
  • .NET Framework
  • ASP.NET Core
  • Microsoft Office、Microsoft Office ServicesおよびWeb Apps
  • Microsoft Windows Codecs Library
  • Microsoft Dynamics
  • Microsoft、2020年8月の月例更新 - 7件の緊急修正、すでに悪用が確認された2件のゼロデイ脆弱性

    図 2020年8月のセキュリティ更新プログラム(月例パッチ)が公開された

既存の脆弱性情報の更新が2件行われた。また、今月の「悪意のあるソフトウェアの削除ツール」では、新たに対応を追加したファミリはない。

マイクロソフトでは、セキュリティ更新プログラム、セキュリティアドバイザリに関する注意点として、以下をあげる。

  • 2020年8月の定例リリースで情報を公開したCVE-2020-1472(NetLogon)の脆弱性に対応するために、Active Directory環境におけるNetLogonセキュアチャネルが、secure RPCを求めるように動作変更する。動作変更は、2020年8月の月例更新プログラムと2021年2月に公開予定の月例更新プログラムの2回にわたり段階的に実施する予定とのことだ。

サポート対象かつ最新の状態であるWindows端末では、既定でsecure RPCを利用するため影響を受けない。しかし、非Windows端末などにおいて追加の対応が必要となる場合があり、Microsoftのサポート技術情報4557222にて詳細を確認してほしい。

悪用が確認されたゼロディ脆弱性はCVE-2020-1464とCVE-2020-1380である。これらを含め、新たに確認した脆弱性に対応した新しいセキュリティ更新プログラムは、以下の通り。

Windows 10

最大深刻度は緊急(リモートでコードが実行される)

  • Windows 10 v2004:KB4566782
  • Windows 10 v1903およびWindows 10 v1909:KB4565351
  • Windows 10 v1809:KB4565349
  • Windows 10 v1803:KB4571709
  • Windows 10 v1709:KB4571741

Windows 10 バージョン2004の更新プログラムであるKB4566782(累積更新プログラム)の構成内容であるが、

  • 入力デバイス(マウス、キーボード、ペンなど)を使用する際のセキュリティを向上させるための更新
  • Windowsが基本的な操作を実行する際のセキュリティを向上させるための更新
  • ファイルを保存および管理するための更新
  • Internet ExplorerおよびMicrosoft Edge Legacyを使用する際のセキュリティを向上させるための更新
  • Microsoft Office製品を使用する際のセキュリティを向上させるための更新
  • ユーザー名とパスワードを検証するための更新

となっている。また、KB4566782には既知の不具合として、以下が報告されている。

  • 日本語、または中国語IMEを使用する環境で、Microsoft Excelなど、一部のアプリケーションでマウスを使ってドラッグすると、エラーが表示されたり、アプリケーションが応答しなくなったり閉じることがある

Microsoftによれば、この不具合はv2004初期から発生している。回避策は、以下の通り。

(1)[スタート]メニューから[設定]を選択する
(2)[設定]内の検索ボックスに「日本語IMEの設定」と入力し、日本語IMEの設定など、言語に適したIME設定を選択する
(3)[全般]を選択する
(4)[以前のバージョンのMicrosoft IMEを使う]をオンにする

ただし、一時的なもので、長期の使用は推奨されていない。Microsoftでは、今後、修正の予定であるとのことだ。

Windows Server 2019、Windows Server 2016、Server Coreインストール

最大深刻度は緊急(リモートでコードが実行される)

  • Windows Server 2019:KB4565349
  • Windows Server 2016:KB4571694
  • Windows Server v2004:KB4566782
  • Windows Server v1903およびWindows Server v1909:KB4565351

Windows 8.1、Windows Server 2012 R2、Windows Server 2012

最大深刻度は緊急(リモートでコードが実行される)

  • Windows 8.1およびWindows Server 2012 R2マンスリーロールアップ:KB4571703
  • Windows 8.1およびWindows Server 2012 R2セキュリティのみ:KB4571723
  • Windows Server 2012マンスリーロールアップ:KB4571736
  • Windows Server 2012セキュリティのみ:KB4571702

Internet Explorer

最大深刻度は緊急(リモートでコードが実行される)

  • Internet Explorerの累積的な更新プログラム:KB4571687

Microsoft Office関連のソフトウェア

最大深刻度は緊急(リモートでコードが実行される)

  • Microsoft Officeに関連するサポート技術情報:KB4484340、KB4484346、KB4484354、KB4484359、KB4484366、KB4484375、KB4484379、KB4484385、KB4484431、KB4484449、KB4484461、KB4484465、KB4484470、KB4484474、KB4484475、KB4484481、KB4484484、KB4484486、KB4484492、KB4484494、KB4484495、KB4484497

Microsoft SharePoint関連のソフトウェア

最大深刻度は重要(リモートでコードが実行される)

  • Microsoft SharePointに関連するサポート技術情報:KB4484183、KB4484191、KB4484462、KB4484471、KB4484472、KB4484473、KB4484476、KB4484478、KB4484479、KB4484487、KB4484490、KB4484498

Microsoft .NET関連のソフトウェア

最大深刻度は緊急(リモートでコードが実行される)

  • Microsoft .NET関連のソフトウェアに関連するサポート技術情報:KB4569745、KB4569746、KB4569748、KB4569749、KB4569751、KB4570500、KB4570501、KB4570502、KB4570503、KB4570505、KB4570506、KB4570507、KB4570508、KB4570509、KB4571692、KB4571694、KB4571709、KB4571741

Microsoft Dynamics 365

最大深刻度は重要(なりすまし)

  • Microsoft Dynamics関連のソフトウェアに関連するサポート技術情報:KB4541722

Microsoft Visual Studio関連のソフトウェア

最大深刻度は重要(リモートでコードが実行される)

  • Visual Studioのセキュリティ更新プログラムの詳細については、こちらを参照
  • Visual Studioの更新プログラムの詳細については、こちらを参照

SQL Server Management Studio

最大深刻度は重要(サービス拒否)

  • SQL Server Management Studioのセキュリティ更新プログラムの詳細については、こちらを参照
  • SQL Server Management Studioの更新プログラムの詳細については、こちらを参照

ChakraCore

最大深刻度は緊急(リモートでコードが実行される)

  • ChakraCoreはChakraのコア部分であり、HTML/CSS/JSで記述されたMicrosoft EdgeとWindowsアプリケーションを強化する高パフォーマンスのJavaScriptエンジンである。詳細については、こちらを参照