United States Computer Emergency Readiness Team (US-CERT)は3月10日(米国時間)、「Microsoft Releases March 2021 Security Updates |CISA」において、複数のMicrosoftプロダクトに複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、遠隔から攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされている。
脆弱性に関する情報は次のページにまとまっている。
- March 2021 Security Updates - Release Notes - Security Update Guide - Microsoft
- Security update deployment information: March 9, 2021 (KB5001208)
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- Application Virtualization
- Azure
- Azure DevOps
- Azure Sphere
- Internet Explorer
- Microsoft ActiveX
- Microsoft Exchange Server
- Microsoft Edge (Chromium-based)
- Microsoft Graphics Component
- Microsoft Office
- Microsoft Office Excel
- Microsoft Office PowerPoint
- Microsoft Office SharePoint
- Microsoft Office Visio
- Microsoft Windows Codecs Library
- Power BI
- Role: DNS Server
- Role: Hyper-V
- Visual Studio
- Visual Studio Code
- Windows Admin Center
- Windows Container Execution Agent
- Windows DirectX
- Windows Error Reporting
- Windows Event Tracing
- Windows Extensible Firmware Interface
- Windows Folder Redirection
- Windows Installer
- Windows Media
- Windows Overlay Filter
- Windows Print Spooler Components
- Windows Projected File System Filter Driver
- Windows Registry
- Windows Remote Access API
- Windows Storage Spaces Controller
- Windows Update Assistant
- Windows Update Stack
- Windows UPnP Device Host
- Windows User Profile Service
- Windows WalletService
- Windows Win32K
-
March 2021 Security Updates - Release Notes - Security Update Guide - Microsoft
JPCERTコーディネーションセンター(JPCERT/CC: JPCERT Coordination Center)は同日、「2021年3月マイクロソフトセキュリティ更新プログラムに関する注意喚起」において、2021年3月のマイクロソフトのセキュリティ更新プログラムについて取り上げ、修正対象の脆弱性を悪用された場合は遠隔から攻撃者によって任意のコードが実行される可能性があると説明している。
アップデート対象となっているセキュリティ脆弱性のうち、Internet Explorerのメモリ破壊脆弱性(CVE-2021-26411)に関しては悪用されている事実が確認されており、至急対策を実施することを呼びかけている。
同様の内容は、情報処理推進機構(IPA: Information-technology Promotion Agency, Japan)も同日「Microsoft 製品の脆弱性対策について(2021年3月):IPA 独立行政法人 情報処理推進機構」において報告している。
セキュリティの観点からは、Microsoftから毎月公開されるセキュリティ更新プログラム(Windows Update、Microsoft Update)は迅速に適用することが望まれる。しかし、更新プログラムを適用することで別の問題が発生するというケースも続いている。Microsoftが認識している既知の問題については「March 2021 Security Updates - Release Notes - Security Update Guide - Microsoft」からたどることができる。不具合が発生したら困る場合などは事前に既知の問題を確認した上で作業を行うことが望まれる。
