Microsoftは本日、月例更新の一環としてWindows 8.1、Windows 7などに対し、月例品質ロールアップとセキュリティオンリーアップデートを公開しました(Neowin)。Windows 7用の更新プログラムは有償サポートを契約しているユーザーのみの提供となっています。
公開された月例品質ロールアップは以下の通りです(括弧内はセキュリティオンリーアップデート)。
- Windows 8.1/Windows Server 2012 R2: KB4598285(KB4598275)
- Windows 7 SP1/Widnows 2008 R2 SP1: KB4598279(KB4598289)
- Windows Server 2012: KB4598278(KB4598297)
更新プログラムは、Windows UpdateまたはMicrosoft Updateカタログを利用してインストールすることが可能で、それぞれの変更点は以下の通りとなっています。
January 12, 2021—KB4598285 (Monthly Rollup)
Windows 8.1/Windows Server 2012 R2用の月例品質ロールアップKB4598285では、2020年12月8日に公開されたKB4592484の内容に加え、 Printer Remote Procedure Call(RPC)バインディングがリモートWinspoolインターフェイスの認証を処理する方法に存在するセキュリティバイパスの脆弱性の修正や、HTTPS ベースのイントラネットサーバーのセキュリティ上の脆弱性の修正、信頼されたManaged Identity for Application(MIT)レルムのプリンシパルが、Active Directoryドメインコントローラ(DC)からKerberosサービスチケットを取得しないという問題の修正が行われています。
- Addresses a security bypass vulnerability that exists in the way the Printer Remote Procedure Call (RPC) binding handles authentication for the remote Winspool interface. For more information, see KB4599464.
- Addresses a security vulnerability issue with HTTPS-based intranet servers. After you install this update, HTTPS-based intranet servers cannot leverage a user proxy to detect updates by default. Scans that use these servers will fail if the clients do not have a configured system proxy.
If you must leverage a user proxy, you must configure the behavior by using the Windows Update policy Allow user proxy to be used as a fallback if detection using system proxy fails. To make sure that the highest levels of security, additionally leverage Windows Server Update Services (WSUS) Transport Layer Security (TLS) certificate pinning on all devices. For more information, see Changes to scans, improved security for Windows devices.
Note This change does not affect customers who use HTTP WSUS servers.
Addresses an issue in which a principal in a trusted Managed Identity for Application (MIT) realm does not obtain a Kerberos Service ticket from Active Directory domain controllers (DCs). This issue occurs after Windows Updates that contains CVE-2020-17049 protections released between November 10 and December 8, 2020 are installed and PerfromTicketSignature is configured to 1 or higher. Ticket acquisition fails with KRB_GENERIC_ERROR if callers submit a PAC-less Ticket Granting Ticket (TGT) as an evidence ticket without providing the USER_NO_AUTH_DATA_REQUIRED flag.
- Security updates to Windows App Platform and Frameworks, Windows Graphics, Windows Media, Windows Fundamentals, Windows Cryptography, and Windows Virtualization.
更新プログラムには以下の1件の既知の不具合が存在します。
- 特定の操作をクラスター共有ボリューム上のファイルやフォルダーに対して実行すると「STATUS_BAD_IMPERSONATION_LEVEL (0xC00000A5)」が発生する。
回避策はKBページでご確認ください。
Windows UpdateやMicrosoft Update、Microsoft Update Catalog、Windows Server Update Services (WSUS)などを利用してインストールすることができます。
January 12, 2021—KB4598279 (Monthly Rollup)
Windows 7/Windows Server 2008 R2用の更新プログラムKB4598279では、2020年12月8日に公開されたKB4592471の修正内容に加え、Printer Remote Procedure Call(RPC)バインディングがリモートWinspoolインターフェイスの認証を処理する方法に存在するセキュリティバイパスの脆弱性の修正や、HTTPS ベースのイントラネットサーバーのセキュリティ上の脆弱性の修正、信頼されたManaged Identity for Application(MIT)レルムのプリンシパルが、Active Directoryドメインコントローラ(DC)からKerberosサービスチケットを取得しないという問題の修正が行われています。
- Addresses a security bypass vulnerability that exists in the way the Printer Remote Procedure Call (RPC) binding handles authentication for the remote Winspool interface. For more information, see KB4599464.
- Addresses a security vulnerability issue with HTTPS-based intranet servers. After you install this update, HTTPS-based intranet servers cannot leverage a user proxy to detect updates by default. Scans that use these servers will fail if the clients do not have a configured system proxy.
If you must leverage a user proxy, you must configure the behavior by using the Windows Update policy Allow user proxy to be used as a fallback if detection using system proxy fails. To make sure that the highest levels of security, additionally leverage Windows Server Update Services (WSUS) Transport Layer Security (TLS) certificate pinning on all devices. For more information, see Changes to scans, improved security for Windows devices.
Note This change does not affect customers who use HTTP WSUS servers.
Addresses an issue in which a principal in a trusted Managed Identity for Application (MIT) realm does not obtain a Kerberos Service ticket from Active Directory domain controllers (DCs). This issue occurs after Windows Updates that contains CVE-2020-17049 protections released between November 10 and December 8, 2020 are installed and PerfromTicketSignature is configured to 1 or higher. Ticket acquisition fails with KRB_GENERIC_ERROR if callers submit a PAC-less Ticket Granting Ticket (TGT) as an evidence ticket without providing the USER_NO_AUTH_DATA_REQUIRED flag.
- Security updates to Windows App Platform and Frameworks, Windows Graphics, Windows Media, Windows Fundamentals, Windows Cryptography, Windows Virtualization, and Windows Hybrid Storage Services.
更新プログラムには以下の2件の既知の不具合が存在します。
- 更新プログラムをインストールしてデバイスを再起動すると「Windows更新プログラムの設定に失敗しました」というエラーが表示されることがある。
- 定の操作をクラスター共有ボリューム上のファイルやフォルダーに対して実行すると「STATUS_BAD_IMPERSONATION_LEVEL (0xC00000A5)」が発生する。
回避策はKBページでご確認ください。
Windows UpdateやMicrosoft Update、Microsoft Update Catalog、Windows Server Update Services (WSUS)などを利用してインストールすることができます。