米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は12月14日(米国時間)、「Microsoft Releases December 2021 Security Updates|CISA」において、Microsoftが2021年12月版のセキュリティアップデートをリリースしたことを伝えた。
Microsoftは毎月第2火曜日に同社製品に対するセキュリティアップデートをまとめてリリースしている。今月のリリースでは、CVEベースで67件の脆弱性が修正されており、そこにはすでに悪用が確認されている1件のゼロデイ脆弱性が含まれている。
2021年12月のセキュリティアップデートに関する詳細は次のリリースノートにまとめられている。
アップデートの対象となっている製品は次のとおり。
- Apps
- ASP.NET Core と Visual Studio
- Azure Bot Framework SDK
- BizTalk ESB Toolkit
- インターネット記憶域ネーム サービス
- Microsoft Defender for IoT
- Microsoft デバイス
- Microsoft Edge (Chromium ベース)
- Microsoft Local Security Authority Server (lsasrv)
- Microsoft Message Queuing
- Microsoft Office
- Microsoft Office Access
- Microsoft Office Excel
- Microsoft Office SharePoint
- Microsoft PowerShell
- Microsoft Windows Codecs Library
- Office Developer Platform
- リモート デスクトップ クライアント
- ロール: Windows Fax サービス
- ロール: Windows Hyper-V
- Visual Studio Code
- Visual Studio Code - WSL Extension
- Windows 共通ログ ファイル システム ドライバー
- Windows Digital TV チューナー
- Windows DirectX
- Windows Encrypting File System (EFS)
- Windows イベント トレーシング
- Windows インストーラー
- Windows カーネル
- Windows Media
- Windows モバイル デバイス管理
- Windows NTFS
- Windows 印刷スプーラー コンポーネント
- Windows Remote Access Connection Manager
- Windows Storage
- Windows Storage Spaces Controller
- Windows SymCrypt
- Windows TCP/IP
- Windows Update Stack
修正された脆弱性に関する個別の情報は、下記のセキュリティ更新プログラムガイドで調べることができる。
Microsoftによると、CVE-2021-43890として追跡されているWindows AppX Installerに関する次の1件の脆弱性については、すでに攻撃への悪用が確認されているという。
そのほか、次の脆弱性は深刻度度が最も高い「Critical(緊急)」に分類されており、早急に更新プログラムを適用することが推奨されている。
- CVE-2021-43215 - セキュリティ更新プログラム ガイド - Microsoft - iSNS サーバーのメモリ破損の脆弱性により、リモートでコードが実行される可能性がある
- CVE-2021-43899 - セキュリティ更新プログラム ガイド - Microsoft - Microsoft 4K ワイヤレス ディスプレイ アダプターのリモートでコードが実行される脆弱性
- CVE-2021-42310 - セキュリティ更新プログラム ガイド - Microsoft - Microsoft Defender for IoT のリモートでコードが実行される脆弱性
- CVE-2021-43905 - セキュリティ更新プログラム ガイド - Microsoft - Microsoft Office アプリのリモートでコードが実行される脆弱性
- CVE-2021-43233 - セキュリティ更新プログラム ガイド - Microsoft - リモート デスクトップ クライアントのリモートでコードが実行される脆弱性
- CVE-2021-43907 - セキュリティ更新プログラム ガイド - Microsoft - Visual Studio Code WSL Extension Remote Code Execution Vulnerability
- CVE-2021-43217 - セキュリティ更新プログラム ガイド - Microsoft - Windows Encrypting File System (EFS) のリモートでコードが実行される脆弱性