2018/01/04

仕事始めは Windows Update から(例の Intel/AMD/ARM CPU 問題に関する追記あり)

(※最初はいつもの定例間の更新だと思っていましたが、いろいろとあって長く、ごちゃごちゃになってしまいました。簡単に言うと、例の CPU 脆弱性対策は、今回のセキュリティ更新+対策済みファームウェアの更新が必要で、たぶん Windows Update でファームウェアが自動更新される Microsoft Surface と今後出てくるだろう対策済み CPU 搭載の最新 PC を除いて、Windows Update だけでは決して完了しないってこと。対応済み PC のチェック結果はこちら

年の初めの Windows Update。なんでこんな時にというタイミングですが、毎月の定例(日本では第二火曜日の翌日)の更新の間に出ることがある、いつもの品質更新プログラムだと思います(月末に出ることもありますし、翌月の初めに流れることも。出ないことも)。帰宅直前の再起動にご注意。

基本的に、定例間のタイミングの品質更新は、新しいセキュリティ更新は含まないことになっていますが、今回のには結構重要なセキュリティ更新も含まれているみたいです。

Release Notes January 2018 Security Updates 
[URL] https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/858123b8-25ca-e711-a957-000d3a33cf99

ただ、年始早々に発覚したIntelプロセッサのセキュリティ問題とやらに関係しているものではないと思います(たぶん)。ウソです。関係してました。

・・・


追記: Azure のインフラストラクチャは対応済みまたは対応中らしい。
CPU の脆弱性から Azure のお客様を保護するために
[URL] https://blogs.technet.microsoft.com/jpaztech/2018/01/04/securing-azure-customers-from-cpu-vulnerability/

追記:1/3 付の累積的な品質更新に、Intel (AMD、ARM も)プロセッサの問題を軽減する更新が含まれているそうです。ただし、...

利用可能なすべての軽減策を利用するためには、更新のインストールだけでは不十分で、レジストリで軽減策の設定(Hyper-V、RDSH、SQL Server とかの Windows Server の場合。Windows クライアントは不要かも)とファームウェアの更新(メーカーが提供、Surface 以外は Windows Update ではやってこない)も必要。ハードウェア側に実装されることになる対策機能を利用するための OS 側の軽減策が今回の更新って感じだと思う。で、どうすればよいのか、かなり難解キャンディーズ。

メーカーからのファームウェアの提供はもうしばらくかかると思いますし、古い PC だとそもそも入手できないかもしれません。セキュリティ更新だけで安心して、多くの PC で中途半端な対策になってしまい、脆弱性が放置されるような予感が...。後述しますが、現時点では Windows Update で配布されない場合もあります。マルウェア対策との組み合わせによっては、BSoD になることもあるそうなので、安易に Microsoft Update Catalog からダウンロードしてインストールするのは危険。

ADV180002 | Guidance to mitigate speculative execution side-channel vulnerabilities (セキュリティ アドバイザリ)
[URL] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
Windows Server Guidance to protect against the speculative execution side-channel vulnerabilities (サーバー向けガイダンス)
[URL]  https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution-s 

Windows Client Guidance for IT Pros to protect against speculative execution side-channel vulnerabilities (クライアント向けガイダンス)
[URL]  https://support.microsoft.com/en-us/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe
Surface Guidance for Customers and Partners: Protect your devices against the recent chip-related security vulnerability (1/6 追記:ファームウェア提供予定の Surface の対象モデルはこちら)
[URL] https://support.microsoft.com/en-us/help/4073065/surface-guidance-for-customers-and-partners-protect-your-devices-again

・・・

Windows 10と Windows Server 2016 以降向けに 1/3 付(日本では 1/4) にリリースされた累積的な更新はこちら。以前のバージョンについては省略(KB4056897 とか KB4056898 を探してね)。

Windows 10バージョン1709およびWindows Serverバージョン1709:
January 3, 2018-KB4056892 (OS Build 16299.192)
[URL] https://support.microsoft.com/en-us/help/4056892


Windows 10バージョン1703:
January 3, 2018-KB4056891 (OS Build 15063.850)
[URL] https://support.microsoft.com/en-us/help/4056891


Windows 10バージョン1607およびWindows Server 2016:
January 3, 2018-KB4056890 (OS Build 14393.2007)
[URL] https://support.microsoft.com/en-us/help/4056890

注:今回も Windows Server 2016 に限り、サイズの小さな express な .cab (Windows 10.0-KB4056890-x64-express.cab)ではなく、フル な.cab(Windows 10.0-KB4056890-x64.cab1.17 GB)での配布。もう express はあきらめたのか???

Windows 10バージョン1511 Enterprise/Educationのみ:
January 3, 2018-KB4056888 (OS Build 10586.1356)
[URL] https://support.microsoft.com/en-us/help/4056888

Windows 10 Enterprise 2015 LTSB:
January 3, 2018-KB4056893 (OS Build 10240.17738)
[URL] https://support.microsoft.com/en-us/help/4056893


手元の環境では、Windows 10バージョン1703とWindows 10バージョン1607とWindows Server 2016にはWindows Updateで配布されたけど、Windows 10バージョン1709には来ていません(Windows 10バージョン1511以前とWindows Serverバージョン1709は未確認)。タイミングの問題なのかもしれないですし、Microsoft Update Catalogのみでの提供かもしれません。KB のページには "This update will be downloaded and installed automatically from Windows Update..." と書いてありますが、これコピペのときがあるのでご注意。

追記: 
"To help avoid adversely affecting customer devices, the Windows security updates released on January 3, 2018 have not been offered to all customers. (お客様のデバイスに悪影響を与えないよう、2018年1月3日にリリースされたWindowsセキュリティ更新は、すべてのお客様に提供されていません)" だそうです。

"To help prevent stop errors caused by incompatible anti-virus applications, Microsoft is only offering the Windows security updates released on January 3, 2018 to devices running anti-virus software from partners who have confirmed their software is compatible with the January 2018 Windows operating system security update. " や "To help avoid adversely affecting customer devices, the Windows security updates released on January 9th, 2018 have only been offered to devices running compatible antivirus software. "とも。利用中のマルウェア対策製品との互換性の問題で、BSoD(ブルースクリーン、STOP エラー、例の青い画面)になることがあるので、Microsoft Update Catalog から手動でダウンロードしてインストールするのはリスクがあります。配布されるまで待ちましょう(ただし、マルウェア対策なしの Windows 7 の場合は「1/5 さらにさらに追記」を参照)。

1/5 さらに追記:
私が使っている ESET NOD32 AntiVirus 11 は、"updated Antivirus and antispyware scanner (module 1533.3)" で対応済みになったそうなので、Windows 10 バージョン 1709 に手動ダウンロード&インストールしてみました。チェックツールの Get-SpeculationControlSettings の結果はこんな感じ。
この PC はファームウェアがサポートしていないので、CVE-2017-5715 (Branch Target Injection:BTI)の脆弱性は OS が緩和策に対応していても利用できない状態。

CVE-2017-5754 (Rogue data cache load)の脆弱性の緩和策については「Windows OS support for kernel VA shadow is enabled:」がクライアントだと「True」で、サーバーだと「False」。サーバーはレジストリの追加で「True」になるみたい。1/11 追記:この軽減策のためにはマイクロコードの更新は必要なし(ADV18002 の FAQ 9 を参照)。

1/9 追記:32 ビット版のパッチには CVE-2017-5754 対策が含まれません。将来のアップデートで提供予定(→ ADV18002 の FAQ 7 を参照)。

CVE-2017-5753 (Bounds check bypass) の脆弱性のチェックはないけど、これだけはファームウェア関係なく効くのかしらん?これはファームウェア更新必要なしで有効。

この PC は古いモデルなのでファームウェアの提供は望めないかも。でも、NOD32 がブロックしてくれるみたいなので、とりあえず一安心。

ESET can stop malware that in the future may use Spectre and Meltdown vulnerabilities
[URL] https://support.eset.com/alert6644/

1/5 さらにさらに追記: 
マルウェア対策ソフトなしのWindows 7の場合(Windows 7 の Windows Defender はスパイウェア対策だけ、マルウェア対策ソフトにあらず)、ごにょごにょしないと、Windows Update で更新が一生降ってこないかも(↓)。


Important information regarding the Windows security updates released on January 3, 2018 and anti-virus software
[URL] https://support.microsoft.com/en-us/help/4072699/

マルウェア対策ソフトなし(またはマルウェア対策ソフト対応していないかもしれないけと無理やり)の Windows 7、Windows Server 2008 R2、Windows Server 2012 の場合のごにょごにょは、コマンドプロンプトを管理者として開いての、こんな感じかな? (マルウェア対策ソフトなしってのが脅威ですが、手元に環境あったので)。

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" /v cadca5fe-87d3-4b96-b7fb-a231484277cc /t REG_DWORD /d 0 /f 

レジストリ追加前(1/5時点):

レジストリ追加後(1/5時点): 
現状、トレンドマイクロ製品はこの無理くりな方法で?
【重要なお知らせ】弊社製品をご利用の一部環境における2018年1月以降のWindows Updateに関して  
[URL] https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=3099

1/6 さらにさらにさらに追記:
Protecting guest virtual machines from CVE-2017-5715 (branch target injection)

[URL] https://docs.microsoft.com/en-us/virtualization/hyper-v-on-windows/CVE-2017-5715-and-hyper-v-vms

ファームウェア更新に関係なく有効になる軽減策は Edge と IE の動作仕様の変更だけかも?→ 1/11 追記:ファームウェアの更新に関係なく、CVE-2017-5753 と CVE-2017-5754 の軽減策は利用できるそうです。ADV18002 の FAQ 9 を参照)。
Mitigating speculative execution side-channel attacks in Microsoft Edge and Internet Explorer
[URL] https://blogs.windows.com/msedgedev/2018/01/03/speculative-execution-mitigations-microsoft-edge-internet-explorer/

1 件のコメント:

  1. Symantec が BSOD に?!
    Blue Screen of Death with Stop Code: MEMORY_MANAGEMENT (0x1a) After Applying Windows Security Updates from 1/3/2018
    https://support.symantec.com/en_US/article.TECH248545.html

    カスペルスキー は対応済みの様
    カスペルスキー製品と2018年1月9日に配信予定のMicrosoftセキュリティアップデートの互換性について
    https://support.kaspersky.co.jp/14042

    ESET の日本語ページ
    CPUの脆弱性問題に関するマイクロソフト社のパッチへのESET製品の対応状況について
    https://eset-support.canon-its.jp/faq/show/8945?site_domain=private

    ややこしいですね (T_T)

    返信削除

注: コメントを投稿できるのは、このブログのメンバーだけです。