各位
2020年11月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200042.html
I. 概要マイクロソフトから 2020年11月のセキュリティ更新プログラムが公開されました。本情報には、深刻度が「緊急」のセキュリティ更新プログラムが含まれています。脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行されるなどの可能性があります。
脆弱性の詳細は、次の URL を参照してください。
2020 年 11 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/2020-Nov
[修正された脆弱性 (深刻度「緊急」のセキュリティ更新プログラムを含む)]※ 同一の脆弱性において、複数の KB に及ぶ場合には、それぞれを記載します。
CVE-2020-16988
Azure Sphere の特権の昇格の脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-16988
※ 本脆弱性は、KB番号が採番されていないため、記載はありません
CVE-2020-17042
Windows 印刷スプーラーのリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-17042
- KB4586781, KB4586785, KB4586786, KB4586787, KB4586793, KB4586805
KB4586807, KB4586808, KB4586817, KB4586823, KB4586827, KB4586830
KB4586834, KB4586845
CVE-2020-17048
Chakra スクリプト エンジンのメモリ破損の脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-17048
- KB4586781, KB4586785, KB4586786, KB4586793, KB4586830
CVE-2020-17051
Microsoft ネットワーク ファイル システムのリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-17051
- KB4586781, KB4586786, KB4586793, KB4586805, KB4586807, KB4586808
KB4586817, KB4586823, KB4586827, KB4586830, KB4586834, KB4586845
CVE-2020-17052
スクリプト エンジンのメモリ破損の脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-17052
- KB4586768, KB4586781, KB4586785, KB4586786, KB4586787, KB4586793
KB4586827, KB4586830, KB4586845
CVE-2020-17053
Internet Explorer のメモリ破損の脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-17053
- KB4586781, KB4586785, KB4586786, KB4586793
CVE-2020-17058
Microsoft ブラウザーのメモリ破損の脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-17058
- KB4586781, KB4586785, KB4586786, KB4586787, KB4586793, KB4586830
CVE-2020-17078
Raw Image Extension Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-17078
※ 本脆弱性は、KB番号が採番されていないため、記載はありません
CVE-2020-17079
Raw Image Extension Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-17079
※ 本脆弱性は、KB番号が採番されていないため、記載はありません
CVE-2020-17082
Raw Image Extension Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-17082
※ 本脆弱性は、KB番号が採番されていないため、記載はありません
CVE-2020-17101
HEIF 画像拡張機能のリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-17101
※ 本脆弱性は、KB番号が採番されていないため、記載はありません
CVE-2020-17105
AV1 Video Extension のリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-17105
※ 本脆弱性は、KB番号が採番されていないため、記載はありません
CVE-2020-17106
HEVC ビデオ拡張機能のリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-17106
※ 本脆弱性は、KB番号が採番されていないため、記載はありません
CVE-2020-17107
HEVC ビデオ拡張機能のリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-17107
※ 本脆弱性は、KB番号が採番されていないため、記載はありません
CVE-2020-17108
HEVC ビデオ拡張機能のリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-17108
※ 本脆弱性は、KB番号が採番されていないため、記載はありません
CVE-2020-17109
HEVC ビデオ拡張機能のリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-17109
※ 本脆弱性は、KB番号が採番されていないため、記載はありません
CVE-2020-17110
HEVC ビデオ拡張機能のリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-17110
※ 本脆弱性は、KB番号が採番されていないため、記載はありません
なお、マイクロソフトによると、CVE-2020-17087 (重要) の脆弱性の悪用を確認しているとのことです。セキュリティ更新プログラムの早期の適用をご検討ください。
II. 対策Microsoft Update、もしくは Windows Update などを用いて、セキュリティ更新プログラムを早急に適用してください。
Microsoft Update カタログ
https://www.catalog.update.microsoft.com/
Windows Update:よくあるご質問
https://support.microsoft.com/ja-JP/help/12373/windows-update-faq
III. 参考情報
マイクロソフト株式会社
2020 年 11 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/2020-Nov
マイクロソフト株式会社
2020 年 11 月のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2020/11/10/202011-security-updates/
今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。
==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp
JPCERT-AT-2020-0042
JPCERT/CC
2020-11-11
JPCERT/CC Alert 2020-11-11
2020年11月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200042.html
I. 概要マイクロソフトから 2020年11月のセキュリティ更新プログラムが公開されました。本情報には、深刻度が「緊急」のセキュリティ更新プログラムが含まれています。脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行されるなどの可能性があります。
脆弱性の詳細は、次の URL を参照してください。
2020 年 11 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/2020-Nov
[修正された脆弱性 (深刻度「緊急」のセキュリティ更新プログラムを含む)]※ 同一の脆弱性において、複数の KB に及ぶ場合には、それぞれを記載します。
CVE-2020-16988
Azure Sphere の特権の昇格の脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-16988
※ 本脆弱性は、KB番号が採番されていないため、記載はありません
CVE-2020-17042
Windows 印刷スプーラーのリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-17042
- KB4586781, KB4586785, KB4586786, KB4586787, KB4586793, KB4586805
KB4586807, KB4586808, KB4586817, KB4586823, KB4586827, KB4586830
KB4586834, KB4586845
CVE-2020-17048
Chakra スクリプト エンジンのメモリ破損の脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-17048
- KB4586781, KB4586785, KB4586786, KB4586793, KB4586830
CVE-2020-17051
Microsoft ネットワーク ファイル システムのリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-17051
- KB4586781, KB4586786, KB4586793, KB4586805, KB4586807, KB4586808
KB4586817, KB4586823, KB4586827, KB4586830, KB4586834, KB4586845
CVE-2020-17052
スクリプト エンジンのメモリ破損の脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-17052
- KB4586768, KB4586781, KB4586785, KB4586786, KB4586787, KB4586793
KB4586827, KB4586830, KB4586845
CVE-2020-17053
Internet Explorer のメモリ破損の脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-17053
- KB4586781, KB4586785, KB4586786, KB4586793
CVE-2020-17058
Microsoft ブラウザーのメモリ破損の脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-17058
- KB4586781, KB4586785, KB4586786, KB4586787, KB4586793, KB4586830
CVE-2020-17078
Raw Image Extension Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-17078
※ 本脆弱性は、KB番号が採番されていないため、記載はありません
CVE-2020-17079
Raw Image Extension Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-17079
※ 本脆弱性は、KB番号が採番されていないため、記載はありません
CVE-2020-17082
Raw Image Extension Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-17082
※ 本脆弱性は、KB番号が採番されていないため、記載はありません
CVE-2020-17101
HEIF 画像拡張機能のリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-17101
※ 本脆弱性は、KB番号が採番されていないため、記載はありません
CVE-2020-17105
AV1 Video Extension のリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-17105
※ 本脆弱性は、KB番号が採番されていないため、記載はありません
CVE-2020-17106
HEVC ビデオ拡張機能のリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-17106
※ 本脆弱性は、KB番号が採番されていないため、記載はありません
CVE-2020-17107
HEVC ビデオ拡張機能のリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-17107
※ 本脆弱性は、KB番号が採番されていないため、記載はありません
CVE-2020-17108
HEVC ビデオ拡張機能のリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-17108
※ 本脆弱性は、KB番号が採番されていないため、記載はありません
CVE-2020-17109
HEVC ビデオ拡張機能のリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-17109
※ 本脆弱性は、KB番号が採番されていないため、記載はありません
CVE-2020-17110
HEVC ビデオ拡張機能のリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2020-17110
※ 本脆弱性は、KB番号が採番されていないため、記載はありません
なお、マイクロソフトによると、CVE-2020-17087 (重要) の脆弱性の悪用を確認しているとのことです。セキュリティ更新プログラムの早期の適用をご検討ください。
II. 対策Microsoft Update、もしくは Windows Update などを用いて、セキュリティ更新プログラムを早急に適用してください。
Microsoft Update カタログ
https://www.catalog.update.microsoft.com/
Windows Update:よくあるご質問
https://support.microsoft.com/ja-JP/help/12373/windows-update-faq
III. 参考情報
マイクロソフト株式会社
2020 年 11 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/2020-Nov
マイクロソフト株式会社
2020 年 11 月のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2020/11/10/202011-security-updates/
今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。
==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp
前
コメント
共 有
