Reading Time: 2 minutes
この記事の所要時間: 約 8分

皆さま、こんにちは。
ManageEngine Desktop Centralの製品担当の植松です。
本日も2018年12月度のMicrosoftセキュリティ更新プログラムの概要と、パッチ管理に強みのある資産管理ソフトManageEngine Desktop Centralについてご紹介いたします。 

【概要】
Microsoftは、2018年12月12日(日本時間)に以下のソフトウェアに関するセキュリティ更新プログラムを公開しました。
・Adobe Flash Player
・Internet Explorer
・Microsoft Edge
・Microsoft Windows
・Microsoft Office、Microsoft Office Servers および Web Apps
・ChakraCore
・.NET Framework
・Microsoft Dynamics NAV
・Microsoft Exchange Server
・Microsoft Visual Studio
・Windows Azure Pack (WAP)

今回のセキュリティ更新プログラムでは39件の脆弱性が修正されていますが、脆弱性の深刻度が「緊急」に指定されているものは9件ございます。
脆弱性の概要については以下の表をご覧ください。

脆弱性の概要 KB番号 深刻度 概要 影響を受ける製品 参考URL
CVE-2018-8540 KB4470491 KB4470492 KB4470493 KB4470498 KB4470499 KB4470500
KB4470502 KB4470600 KB4470601 KB4470602 KB4470622 KB4470623
KB4470629 KB4470630 KB4470633 KB4470637 KB4470638 KB4470639
KB4470640 KB4470641 KB4471102 KB4471321 KB4471323 KB4471324
KB4471327 KB4471329
緊急 .NET Framework のコード挿入の脆弱性 Windows Server 2008以降 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8540
CVE-2018-8583 KB4471324 KB4471327 KB4471329 KB4471332 緊急 Chakra スクリプト エンジンのメモリ破損の脆弱性 ChakraCore
Microsoft Edge
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8583
CVE-2018-8611 KB4471318 KB4471319 KB4471320 KB4471321 KB4471322 KB4471323 KB4471324 KB4471325 KB4471326 KB4471327 KB4471328 KB4471329 KB4471332 重要 Windows カーネルの特権の昇格の脆弱性 Windows 7以降
Windows Server 2008以降
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8611
CVE-2018-8617 KB4471321 KB4471323 KB4471324 KB4471327 KB4471329 KB4471332 緊急 Chakra スクリプト エンジンのメモリ破損の脆弱性 ChakraCore
Microsoft Edge
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8617
CVE-2018-8618 KB4471321 KB4471324 KB4471327 KB4471329 KB4471332 警告
緊急
Chakra スクリプト エンジンのメモリ破損の脆弱性 ChakraCore
Microsoft Edge
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8618
CVE-2018-8624 KB4471321 KB4471324 KB4471327 KB4471329 KB4471332 警告
緊急
Chakra スクリプト エンジンのメモリ破損の脆弱性 ChakraCore
Microsoft Edge
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8624
CVE-2018-8626 KB4471320 KB4471321 KB4471322 KB4471324 KB4471329 KB4471332 警告
緊急
Windows DNS Server のヒープ オーバーフローの脆弱性 ChakraCore
Microsoft Edge
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8626
CVE-2018-8629 KB4471321 KB4471323 KB4471324 KB4471327 KB4471329 KB4471332 警告
緊急
Chakra スクリプト エンジンのメモリ破損の脆弱性 ChakraCore
Microsoft Edge
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8629
CVE-2018-8631 KB4470199 KB4471318 KB4471320 KB4471321 KB4471323 KB4471324
KB4471327 KB4471329 KB4471332
警告
緊急
Internet Explorer のメモリ破損の脆弱性 Internet Explorer 9以降 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8631
CVE-2018-8634 KB4471321 KB4471323 KB4471324 KB4471327 KB4471329 KB4471332 緊急 Microsoft 音声合成のリモートでコードが実行される脆弱性 Windows 10
Windows Server 2016以降
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8634
CVE-2018-8557 KB4467680 KB4467686 KB4467691 KB4467696 KB4467702 KB4467708 緊急 Chakra スクリプト エンジンのメモリ破損の脆弱性 ChakraCore
Microsoft Edge
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8557
CVE-2018-8588 KB4467680 KB4467686 KB4467691 KB4467696 KB4467702 KB4467708 緊急 Chakra スクリプト エンジンのメモリ破損の脆弱性 ChakraCore
Microsoft Edge
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8588
CVE-2018-8589 KB4467106 KB4467107 KB4467700 KB4467706 重要 Windows Win32k の特権の昇格の脆弱性 Windows7
Windows Server 2008
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8589
CVE-2018-8609 KB4467675 緊急 Microsoft Dynamics 365 (on-premises) version 8 Remote Code Execution Vulnerability Microsoft Dynamics 365 (on-premises) version 8 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2018-8609

これらの脆弱性を悪用された場合、アプリケーションプログラムの異常終了や攻撃者によるコンピューター制御など、様々な被害が発生する可能性があります。
またCVE-2018-8611の脆弱性について、Microsoft社は脆弱性悪用の事実を確認済みと公表しているため、被害が拡大する可能性があります。

【対策】
上記の脆弱性への対策としてはMicrosoftが提供しているセキュリティ更新プログラムを適用する必要があります。 

さて前回のブログでは、パッチ自動配布タスクの作成方法(パッチ配布を自動化する方法)についてご紹介いたしました。今回のブログでは、前回のブログ内で告知した通り、「パッチの拒否」機能をご紹介いたします。

「パッチの拒否」機能は、「業務システムがJavaの特定のバージョンでしか動作がサポートされていない…!」といったケースにおいて、非常に有用です。設定方法も非常にシンプルで、事前に作成したコンピューターグループに対して、パッチを拒否したいアプリケーションや特定のバージョンなどを指定するだけで完了します。

具体的な設定方法は以下の2ステップです。
①パッチの拒否を行うグループを設定
②パッチを拒否するアプリケーションやバージョンを指定

①パッチの拒否を行うグループを設定 

「カスタムグループ」というグループ作成機能で事前に作成したグループを設定します。業務システムが動いているサーバーなどを事前にグループにしておく必要があります。「カスタムグループ」で作成したグループは、「パッチの拒否」機能以外においても利用可能です。「カスタムグループ」機能の詳細については次回のブログにてご紹介いたします。

② パッチを拒否するアプリケーションやバージョンを指定

上記のように、アプリケーション単位での拒否をはじめ、特定のバージョンを指定して拒否することも可能です。

 最後になりますが、パッチを拒否することによって、脆弱性が放置されるリスクが伴います。そのため脆弱性の緩和対策を別途実施し、脆弱性による影響を最小限に抑える必要があることをご留意ください。

以上です。本日は2018年12月度のMicrosoftセキュリティ更新プログラムの概要と、Desktop Centralの「パッチの拒否」機能をご紹介いたしました。 

Desktop Centralについて、少しでもご興味を持っていただけましたら、「30日間の無料トライアル(評価版)」を是非お試しください。評価期間中は、無償で弊社の技術サポートを受けられます。
<<Desktop Centralのダウンロードページ>>
https://www.manageengine.jp/products/Desktop_Central/download.html

それではSee you next month!

【参照先URL】
Microsoft社
2018 年 12月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/6c54acc6-2ed2-e811-a980-000d3a33a34d

Microsoft社
2018 年 12月のセキュリティ更新プログラム (月例)
https://blogs.technet.microsoft.com/jpsecurity/2018/12/12/201812-security-updates/ 

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
2018年 12月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2018/at180050.html 

IPA 情報処理推進機構
Microsoft 製品の脆弱性対策について(2018年12月)
https://www.ipa.go.jp/security/ciadr/vul/20181212ms.html