本日の Windows Update － 2018 年 8 月 22 日 (Intel CPU 関連）と v1803 の未解決の問題

（※初出時からいろいろと変更しました。当初 2018-08 の更新と誤解していたことや、v1607 のKB4091664 を KB4346087 とコピーミスしてたとか。最終更新 2018/8/22 17:00）

該当する Intel プロセッサ搭載 PC に再起動を伴うマイクロコードの更新プログラム（Spectre などの Intel プロセッサの脆弱性問題関連）。

「更新プログラムのチェック」ボタンをクリックしてインストールされるのは、きょう公開されたマイクロコードの更新プログラムの 1 つ前のやつ？ 更新プログラムの名前が 2018-07 から始まるのでちょっと驚き、戸惑う。


v1607 には KB4346087 2018-07 KB4091664 が、v1803 には 2018-07 KB4100347 が Windows Update でインストールされた。Microsoft Update Catalog での最終更新日はどちらも 2018/8/21（同じ KB番号には 2018-05 最終更新日 2018/05/17 のやつもある）。他のバージョンは確認していませんが、同様であれば、他のバージョンを含め、以下の更新プログラム（累積更新ではなく個別パッチ）が Windows Update でインストールされると思います。Intel プロセッサなら、影響を受けるモデルに関係なくインストールされているような気がします（ホストが Intel プロセッサなら仮想マシンにも）。

v1803　2018-07 KB4100347（確認済み）
v1709　2018-07 KB4090007​（未確認）（確認済み）
v1703　2018-07 KB4091663​（未確認）（確認済み）
v1607　2018-07 KB4091664（確認済み）
v1507　2018-07 KB4091666（未確認）

現時点のサポート情報（ja-jp）の機械翻訳が楽しい（コーヒー湖 S、砂のブリッジ、着陸の騎士、騎士ミル、A・マキャフリーの SF に出てきそう）。（←残念ながら？楽しい機械翻訳ではなくなってしまったものが。KB4100347 の機械翻訳はまだ楽しい）

これら 2018-07 パッチは、
Spectre Variant 2 (CVE 2017-5715 [Branch Target Injection])
への対応

本日は、以下の更新（上記より新しい 2018-08 のやつ）もリリースされています。最初はこっちが来てるんだと思っていました。が、こちらは現時点では Windows Update ではインストールされず、Microsoft Update Catalog のみの提供っぽい。2018-08 のやつの最終更新日は 2018/08/20。なんだかよくわからない。現時点での v1803 の提供方法の説明（Windows Update なのか、Microsoft Update Catalog なのか、両方なのか）はいいかげんかもしれません。

Summary of Intel microcode updates
https://support.microsoft.com/en-us/help/4093836/

KB4346084 Intel microcode updates     Windows 10 ver 1803/Server ver 1803 (RS4)
KB4346085 Intel microcode updates     Windows 10 ver 1709/Server ver 1709 (RS3)
KB4346086 Intel microcode updates     Windows 10 ver 1703 (RS2)
KB4346087 Intel microcode updates     Windows 10 ver 1607/Server 2016 (RS1)
KB4346088 Intel microcode updates    Windows 10 ver 1507 (TH1)

こちら 2018-08 パッチは、
Spectre Variant 2 (2018-07 パッチの内容）
＋Spectre Variant 3a (CVE-2018-3640［Rogue System Register Read: RSRE］)
＋Spectre Variant 4 (CVE-2018-3639［Speculative Store Bypass: SSB］)
＋L1TF (CVE-2018-3615, CVE-2018-3646［L1 Terminal Fault］).
への対応

Summary of... には、v1803 向けの KB4346084 が Windows Update、WSUS、Microsoft Update Catalog で提供されていて、v1709 以前は  Microsoft Update Catalog のみで提供されているって書いてるけど、KB4346084 のリンク先のサポート情報には Microsoft Update Catalog のことしか書いてない。（この Summary of ... の情報をそのまま伝える、何も確認していないと思われるニュース記事が、今ならGoogle 景品あったった詐欺広告付き（かも）で出ているので、ニュースの内容と広告の両方にご注意）


これらの 2018-08 パッチは、2018-07 パッチを置き換えるものです（2018-07 パッチの内容＋新しい対策）。Windows Update で現在（8/22から）提供されているのは 2018-07 パッチ（Spectre Variant 2 対策のみ）。その他の脆弱性が気になっていて、早く対策したいって方は（もちろん、対象の CPU の利用者の方で）、Microsoft Update Catalog から入手してインストールすればよいかと。

・・・

今日は、企業向けのこちらの大問題（↓）の修正を含む累積更新プログラムが出ると予告されていましたが、まだ確認できず（8/22 6:30 現在）。8/28 (日本だと 8/29 かも) に延期されたようです（8/22 8:30 現在）。（こちらを確認しようとして Windows Update したら、上の更新がきた）

追記) 8/29 8:00 現在、累積更新の気配なし。まったくもって予測不能。上の予告（8/22、その後 8/28 予定） の予告でパッチ提供に備えていた人もいるだろうに。

Windows 10 RS4 (1803) におけるコンピューター証明書が要求できない問題について
https://blogs.technet.microsoft.com/jpntsblog/2018/08/17/rs4_computer_certenrollment/

”2018 年 8 月 22 日にリリースされる予定の累積更新プログラムに本事象の修正が含まれる予定です。” (8/22 6:30 時点）

”2018 年 8 月 28 日にリリースされる予定の累積更新プログラムに本事象の修正が含まれる予定です。対策バージョンがリリースされましたら改めて情報をアップデートします。"（8/22 8:30 時点）

（こっそり日付書き換えたでしょ。変更履歴とか最終更新日とか残しましょうよ。）

で、この問題、どういう問題かというと、Active Directory ドメインに参加する Windows 10 ver 1803 で「証明書 - ローカル コンピューター」スナップイン（Certlm.msc）を使用して「新しい証明書の要求」を実行し、「Active Directory 登録ポリシー」を選択すると、こんな悲しい状態になるという問題。つまり、新しい証明書を要求できない。

本来なら、次のようにテンプレートの選択画面が表示されるのに（この例は Windows 10 ver 1709 の場合）。8/28 の累積更新プログラムで、上の状態（↑）もこの正常な状態（↓）にに修正されるはず。それまでは、証明書の Web 登録で代替できるかも（試してないけど、証明書の要求の詳細設定で選択できるテンプレートなら）。

Windows 10 ver 1803 の「証明書 - 現在のユーザー」スナップイン（Certmgr.msc）ではこの問題は発生しません。また、グループポリシーの「公開キーのポリシー\証明書の自動要求」で構成したテンプレートによる証明書の自動発行は問題なく機能してました。