Win7×Chromeの脆弱性にも対応!2019年3月の月例アップデートWindowsUpdate(KB4489899、KB4489868、KB4489878.etc)

windowsupdate_201903 WindowsUpdate

2019/3/13(水)にMicrosoftから2019年3月の月例のWindowsUpdate更新プログラムが提供されました。

2019年3月のWindowsUpdate更新プログラム

◆Windows7,8.1、WindowsServer2008,2012

Windows 8.1、Windows Server 2012 R2、Windows RT 8.1 マンスリー ロールアップ: KB4489881
Windows 8.1 および Windows Server 2012 R2 セキュリティのみ: KB4489883
Windows Server 2012 セキュリティのみ: KB4489884
Windows Server 2012 マンスリー ロールアップ: KB4489891
Windows 7 および Windows Server 2008 R2 マンスリー ロールアップ: KB4489878
Windows 7 および Windows Server 2008 R2 セキュリティのみ: KB4489885
Windows 7 および Windows Server 2008 R2 セキュリティ更新プログラム: KB4474419
Windows Server 2008 マンスリー ロールアップ: KB4489880
Windows Server 2008 セキュリティのみ: KB4489876

Windows10

こちらはカーネルバージョン毎にKB番号が異なります。

Windows 10 v1809 セキュリティ更新プログラム: KB4489899
Windows 10 v1803 セキュリティ更新プログラム: KB4489868
Windows 10 v1709 セキュリティ更新プログラム: KB4489886
Windows 10 v1703 セキュリティ更新プログラム: KB4489871
Windows 10 v1607 セキュリティ更新プログラム: KB4489882
Windows 10 セキュリティ更新プログラム: KB4489872

不具合情報(2019年3月のWindowsUpdate更新プログラム)

現状では大きな不具合は確認できていませんが、先月に引き続き「元号関連」で何か影響がでる可能性はありそうです。

またWindows7でSHA-2に関するアップデートがありましたので、この点は要注意と言えるでしょう。

脆弱性への対応2019年3月のWindowsUpdate更新プログラム)

今月頭に報道されていたGoogle Chromeで発覚したゼロデイの脆弱性に関連するアップデートがあります。

CVE-2019-0797 Win32k の特権の昇格の脆弱性
CVE-2019-0808 Win32k の特権の昇格の脆弱性

Win32k コンポーネントがメモリ内のオブジェクトの適切な処理に失敗した場合に、Windows に特権の昇格の脆弱性が存在します。攻撃者によりこの脆弱性が悪用された場合、カーネル モードで任意のコードが実行される可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります。

これはGoogleChromeの脆弱性と、Windows7の脆弱性とが組み合わせて利用されていたものでした。
Chrome側はすでにアップデートが提供されていましたが、Windows側は今回のアップデートにより脆弱性に対応されています。

既に世界中で攻撃が確認されていることから、今回のセキュリティアップデートは早めに適用することをおススメします。

 

その他に以下の脆弱性に対してアップデートが提供されています。

CVE-2019-0667 Windows VBScript エンジンのリモートでコードが実行される脆弱性
CVE-2019-0726 Windows DHCP クライアントのリモートでコードが実行される脆弱性
CVE-2019-0609 スクリプト エンジンのメモリ破損の脆弱性
CVE-2019-0748 Microsoft Office Access Connectivity Engine のリモートでコードが実行される脆弱性
CVE-2019-0778 Microsoft Office SharePoint の XSS の脆弱性
CVE-2019-0754 Windows のサービス拒否の脆弱性

中には、[悪用可能性評価 :1 – 悪用される可能性が高い]の脆弱性もありますので、セキュリティアップデートは速やかに適用しましょう。

コメント