2019/09/24

今日の Windows Update ─ 2019 年 9 月 24 日(IE 9/10/11用パッチ、ダウンロード提供のみ)

Windows 10/Server 2016 以降の全バージョン(EOS を除く)にオプションの累積更新プログラム? or 定例外のセキュリティ修正?(を追加した累積更新プログラム)が出てるみたいです。Windows 10 ver 1903 以外は「更新プログラムのチェック」ボタンのクリックにご注意(6:45 現在、クリックしても検出されない?)。Microsoft Update Catalog でダウンロード提供のみ。MSRC (英語)の深刻度だと「緊急(Critical)」または「警告(Moderate)」。「0 - 悪用の事実を確認済み(0 - Exploitation Detected)の意味はこちら

0 - 悪用の事実を確認済み(Exploitation detected)
1 - 悪用される可能性が高い(Exploitation more likely)
2 - 悪用される可能性は低い(Exploitation less likely)
3 - 悪用される可能性は非常に低い(Exploitation unlikely)

最も深刻度高い評価なのに自動配布されないのはナゼ?

Windows 10 release information
https://docs.microsoft.com/en-us/windows/release-information/
Improvements and fixes
・"Security updates to Internet Explorer."
How to get this update
Windows Update and Microsoft Update     No
Microsoft Update Catalog     Yes
Windows Server Update Services (WSUS)     No

Windows 8.1/Windows Server 2012 R2 以前向けには、Windows のロールアップではなく、以下のセキュリティ パッチ(IE の累積更新)として出てます。こちらも Microsoft Update Catalog のみ。

Cumulative security update for Internet Explorer: September 23, 2019
https://support.microsoft.com/en-us/help/4522007/

解決される脆弱性の詳細はこちら。
CVE-2019-1367 | スクリプト エンジンのメモリ破損の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-1367
↑パッチを利用しない場合の回避策もあり。既定のブラウザーが IE でなければ急ぐ必要ないと思う。説明では "Web ベースの攻撃シナリオでは、攻撃者は Internet Explorer を介してこの脆弱性を悪用することを目的として特別に細工した Web サイトをホストし、メールを送信するなどして、その Web サイトを表示するようにユーザーを誘導する可能性があります" なので。心配なら、大きなパッチをダウンロードするようりも、上記に書かれている回避策のほうがてっとり早い。ただし、次の品質更新プログラムを入れる前に元に戻すこと。

x86 OS の場合
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N
(元に戻すには
cacls %windir%\system32\jscript.dll /E /R everyone


x64 OS の場合
takeown /f %windir%\syswow64\jscript.dll
cacls %windir%\syswow64\jscript.dll /E /P everyone:N
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N
(元に戻すには
cacls %windir%\system32\jscript.dll /E /R everyone
cacls %windir%\system64\jscript.dll /E /R everyone


※修正内容はほんの数 MB だけど(ver 1607 x64 で 5 ファイル、実サイズ 2.3MB →)、ダウンロード サイズは巨大(ver 1607 x64 で 1420.6MB、ver 1903 x64 で 260.8MB)です。累積更新は、今回のような小規模な修正には効率が超悪い。"If you installed earlier updates, only the new fixes contained in this package will be downloaded and installed on your device."って書いてるけど、"only the new fixes contained in this package will be downloaded" はウソ、それは Windows Update でダウンロードしたときの話。"(only the new fixes contained in this package will be) installed"のほうはホント。

これとは別に今週中または今月中または10月初めまでに、2019-09 D の累積更新プログラムとマンスリーロールアップのプレビューが Windows Update でオプション提供されると思う(今回の IE パッチも累積されているので、昨日と今日のどちらかをインストールすればセキュリティ問題に対策できます)。

追記)Windows Defender や Microsoft Security Essentials、System Center Endpoint Protection... の脆弱性問題についても本日公開あり。最新のエンジン(1.1.16400.2)で解決済み。

CVE-2019-1255 | Microsoft Defender のサービス拒否の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-1255

Windows Defender の場合は (Get-MpComputerStatus).AMEngineVersion が 1.1.16400.2 以上なら解決済み。Microsoft Security Essentials の場合は「ヘルプ > バージョン情報」で「エンジンのバージョン:1.1.16400.2 以上」なら解決済み。

さらに追記 9/30)
25・27日にこの IE パッチも含むオプションの累積更新(9 月 C・D パッチ)が出ています。そちらで対策してもいいですけど、IE パッチ以外の修正(のプレビュー)も含みます。Windows 10 Enterprise 2015 LTSB 向けの 9 月 D パッチは 9/30 時点で出ていないので、この IE パッチを当てるか、回避策するかした方がいいと思います。
今日の Windows Update ─ 2019 年 9 月 25・27 日(2019-09 C or D)+1903 限定解除

1 件のコメント:

  1. Microsoftのセキュリティ更新プログラム ガイドには「悪用の事実を確認済み」という記載がありますね
    https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2019-1367

    ただWindows UpdateやWSUSで配信されていないので、
    すぐに当てるべきか様子見すべきか判断に迷います・・・

    返信削除

注: コメントを投稿できるのは、このブログのメンバーだけです。