HIKKIE

PC / スマートフォン / ガジェット好きのひきこもりライフログBlog

Windows 10 v2004/20H2/21H1にKB5004237│Microsoft製品に7月度セキュリティ更新 (7/22:既知の不具合を追記)(7/28:既知の問題に対する対処を追記)

Microsoftは7月14日、サポートが継続しているすべてのWindowsに対し月例のセキュリティ更新プログラムをリリースした。Windows UpdateやMicrosoft Update Catalogから入手できる。既に悪用が報告されている脆弱性の修正を含まれるので、なるべく早くセキュリティアップデートを適用することをおすすめする。

アップデートがリリースされた製品

Common Internet File System
Dynamics Business Central Control
Microsoft Bing
Microsoft Dynamics
Microsoft Exchange Server
Microsoft Graphics コンポーネント
Microsoft Office
Microsoft Office Excel
Microsoft Office SharePoint
Microsoft スクリプト エンジン
Microsoft Windows Codecs Library
Microsoft Windows DNS
Microsoft Windows Media Foundation
OpenEnclave
Power BI
ロール: DNS サーバー
ロール: Hyper-V
Visual Studio Code
Visual Studio Code - .NET Runtime
Visual Studio Code - Maven for Java 拡張機能
Windows Active Directory
Windows アドレス帳
Windows AF_UNIX Socket Provider
Windows AppContainer
Windows AppX Deployment 拡張機能
Windows Authenticode
Windows Cloud Files Mini Filter Driver
Windows コンソール ドライバー
Windows Defender
Windows Desktop Bridge
Windows イベント トレーシング
Windows File History Service
Windows Hello
Windows HTML プラットフォーム
Windows インストーラー
Windows カーネル
Windows Key Distribution Center
Windows Local Security Authority Subsystem Service
Windows MSHTML プラットフォーム
Windows Partition Management Driver
Windows PFX 暗号化
Windows 印刷スプーラー コンポーネント
Windows Projected File System
Windows Remote Access Connection Manager
Windows リモート アシスタンス
Windows 保護カーネル モード
Windows Security Account Manager
Windows シェル
Windows SMB
Windows Storage Spaces Controller
Windows TCP/IP
Windows Win32K

Windows 10 v 2004/20H2/21H1 / Windows Server 2016/2019

先月からWindows 10 v 21H1へのパッチ提供が開始されているが、21H1のOSコア部分はv 2004/20H2と共通で、更新プログラムの内容は同一。最大深刻度はリモートコード実行の脆弱性の緊急。先月の定例アップデート以降配信されたプレビュー版オプションの更新プログラムや定例外リリースの内容を含んでいる。

hikkie.hatenablog.jp
(HomeやProなど一般向けの)バージョン1909は2021年5月11日にサポートを打ち切られている。

Windows 10 v 2004/20H2/21H1:KB5004237
Windows 10 v 1909:KB5004245
Windows Server 2019:KB5004244
Windows Server 2016:KB5004238

リモートコード実行の脆弱性ってなに? / RCE (Remote Code Execution)

Windows 8.1 / Windows Server 2012/2012 R2

セキュリティのみとマンスリー ロールアップの2種類が用意されているが、マンスリー ロールアップの適用が推奨されている。最大深刻度はリモートコード実行の脆弱性の緊急

Windows 8.1 / Windows Server 2012 R2 マンスリー ロールアップ:KB5004298
Windows 8.1 / Windows Server 2012 R2 セキュリティのみ:KB5004285
Windows Server 2012 マンスリー ロールアップ:KB5004294
Windows Server 2012 セキュリティのみ:KB5004302

企業向けの有償延長サポートに加入している顧客にはWindows 7とWindows ServerNE 2008/2008 R2向けにもパッチが提供される。

Microsoft Officeなど

Microsoft Officeなども脆弱性の修正、信頼性向上の月次アップデートが配信されている。これらのMicrosoft製品は設定からWindowsの更新時に他のMicrosoft製品の更新プログラムも入手するオプションを有効にしていないと配信されない。

Windowsの更新時に他のMicrosoft製品の更新プログラムを受け取る

設定から更新とセキュリティWindows Update画面、詳細オプションを開きWindowsの更新時に他のMicrosoft製品の更新プログラムを受け取るにチェックが入っていればMicrosoft OfficeなどのアップデートもWindows Updateで自動的に導入される。

自動更新が原因となって不具合を引くこともなくはないのだが…仕事でOffice製品を使うのであれば最新のセキュリティ環境が自動的に導入されるほうが良いだろう。

Adobe Flash is Finally Dead.

6月のプレビュー版更新プログラムからAdobe Flash Playerを削除するアップデートKB4577586が累積的な更新プログラムに含まれるようになった。
プレビュー版更新プログラムはオプションの更新プログラムとして配信され、必ずしも適用する必要はないので、導入が必須となる月例のセキュリティ更新プログラムとしては7月から配信されることになる。アンインストールはできず、削除したFlashを元に戻す手段は提供されない。
Windows8.1にも同様の更新プログラムが提供されるので、一般ユーザー向けWindows環境におけるAdobe Flash Playerは正式に滅亡する。(エミュレータとかでswfで配布されたコンテンツを細々と楽しむ人はいるだろうが)

Windows10のバージョンを21H1へアップデートした場合もFlashはシステムから削除されるが、まだ21H1が差し止められている端末はけっこうな割合であるはずだ。逆に言えば、提供が終了される機能がユーザーに与える影響を慮って21H1の配信を差し止めていたメーカーも今回のFlash削除パッチの導入後に21H1の配信を開始したりすることもあるかもしれない。

もっとも、Adobe Flash Playerのサポートは2020年12月31日にとっくに終了していて、順次ブラウザの方でのサポートが差し止められていたので、現実的には今もFlashコンテンツを利用し続けているユーザーはほとんどいないだろうし、WindowsにおけるFlash削除パッチの影響はほとんど出ることはないだろう。

Windows10 v 2004/20H2/21H1にはKB5004237が配信

とりあえず私物のhp ENVY x360 13-ar0000(20H2)にKB5004237を適用。

KB5004237
KB5004237-2

アップデートのインストール開始から再起動を要求されるまで15分ほどかかった。
再起動中、アップデートの構成が行われるが再起動には3分もかからなかった。モダンな環境ならさほど時間はかからないだろうが、ストレージがHDDやeMMCなどのプアな環境では時間がかかる可能性もある。

アップデート完了後

更新のハイライト

・ユーザー名とパスワードの確認に関する更新。
・Windowsのセキュリティを強化する更新。
・特定のプリンターで印刷が困難になる可能性がある問題を修正する更新。この問題は主にUSBを使用して接続するレシートプリンターまたはラベルプリンターで発生している。(そもそもこの不具合はロールバックによる解決が既に提供されているが)

既知の不具合

相変わらず日本語IMEを使用して、ふりがなの入力を自動的に許可するアプリで正しいふりがなが得られない場合がある不具合が継続している。この問題は以前のバージョンのMicrosoft IMEを使うオプションを利用することで回避できる。

7/22追記:プレビューの更新プログラムKB5003690をインストールした一部の環境で7/7以降(KB5004945以降)にリリースされた更新プログラムのインストールに失敗するという報告が上がっています。その際、PSFX_E_MATCHING_BINARY_MISSINGというエラーメッセージが表示されます。

もしこの問題が発生した場合も、放っておけばWindows Update Medic Serviceという機能によってインプレースアップグレードが行われて自動で修復されます。

どうしてもより早く問題を解決したい場合は、

スタート→Windows システム ツール→コマンドプロンプトを右クリックしてその他→管理者として実行を選択

コマンドプロンプトで『Reg.exe Add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion /v AllowInplaceUpgrade /t REG_DWORD /f /d 1』と入力してEnter

これで最大で48時間以内にインプレースアップグレードが行われ、同時に最新のセキュリティ更新プログラムも適用される。

既知の問題に対する対処

Microsoftは7/26、Windows 10 v1809およびWindows Server 2019向けの累積的更新プログラムKB5005394を定例外でリリースした。サーバーOS向けの修正で、7月度定例セキュリティアップデートで発生するプリンター・スキャナーの問題を緩和するもの。

Windows Server 2019:KB5005394
Windows Server 2016:KB5005393
Windows Server 2012 R2:KB5005391
Windows Server 2012:KB5005389
Windows Server 2008 R2 SP1:KB5005392
Windows Server 2008 SP2:KB5005390

2021年7月のセキュリティアップデートを適用後、標準仕様に準拠しない一部のプリンターやスキャナー、複合機でスマートカード認証を使用した印刷に失敗することが報告されている。本来であればデバイスを仕様に準拠させるべきだが、すぐには対応できないベンダーや顧客のために、この問題を一時的に回避するための対策パッチを提供するとしていたもの。Windows Server 2019では2022年1月のプレビューパッチから、そのほかのサーバーOSでは2022年2月の月例アップデートから削除される。

KB5005394は現在、オプションのパッチとしてMicrosoft Update カタログで提供されている。導入が必須のパッチではなく、トラブルが発生していないならば適用しなくてよい。

support.microsoft.com

参考・関連リンク

Security Update Guide - Microsoft Security Response Center

2021 年 7 月のセキュリティ更新プログラム (月例) – Microsoft Security Response Center

管理人のおすすめ記事

hikkie.hatenablog.jp