Microsoft、5月のWindowsセキュリティ更新を配信

　Microsoftは12日（現地時間）、5月のWindowsアップデートの配信を開始した。更新内容は先月の発表どおり、新型コロナウイルスによる影響を鑑みてセキュリティ関係のマイナーアップデートにとどまっている。

【こちらも】Google、5月のAndroid月例セキュリティパッチ公開　クリティカルは3件

■セキュリティアップデートの詳細

　重要な脆弱性への対応はWindows製品向けでは7件。その他に.NET Frameworkに関する修正も配信されている。

　・GDI（グラフィックデバイスインターフェース）に関連するもの
　更新は4件（CVE-2020-0963、CVE-2020-1141、CVE-2020-1145、CVE-2020-1179）。脆弱性の内容は、一つがWindowsのGDIメモリーコンポーネントが不適切に情報を開示してしまうことによって、情報漏えいの可能性があるというもの。もう一つは、GDIがメモリ内のオブジェクトを処理する方法に情報漏えいの脆弱性があり、攻撃者が対象のシステムから機密情報を取得できるようになってしまうというもの。ただしいずれも、悪用の可能性は低いとされている。

　・Windowsカーネルに関連するもの
　1件（CVE-2020-1072）で、カーネルがメモリー内のオブジェクトを正しく処理しないケースで情報漏えいの可能性があるというもの。ただし攻撃者は攻撃対象のローカルにログオンし、特別に細工されたプログラムを実行する必要があるため、悪用の可能性は低いとされている。

　・WSL（Windows Subsystem for Linux）に関するもの
　1件（CVE-2020-1075）で、WSLがメモリ内のオブジェクトを不適切に処理した場合、情報漏えいの可能性があるというもの。攻撃者は特別に細工したアプリケーションを使用することで、この脆弱性を利用する可能性があるが、悪用の可能性は低いとされている。

　・Windows CSRSS（クライアントサーバーランタイムサブシステム）に関するもの
　1件（CVE-2020-1116）で、CSRSSがメモリ内のオブジェクトを不適切に処理することによって、情報が漏えいされてしまう可能性があるというもの。攻撃者は対象のシステムにログオンした上、特別に細工されたプログラムを実行する必要があるため、悪用の危険性は低いとされている。

　いずれのケースでも、悪用の可能性は低いとされるものの、深刻度は重要に分類されている。なおアップデート完了後には、システムを再起動する必要があることにも注意しておきたい。

■アップデートの注意点

　今回の品質向上プログラムの対象は、Windows 10（1909および1903）、Windows 10（1607～1809）、Windows Server 2016以降、Windows 8.1など。また延長サポート契約ユーザーのために、Windows 7およびWindows Server 2012などのセキュリティ更新プログラムも同時に配信されている。

　先月延長になったWindows 10 ver 1809に関するサポート延長はそのまま適用されているが、引き続きWindows Update関係の情報にも注意を払っておく必要があるだろう。（記事：kurishobo・記事一覧を見る）