Misc.

2020/10/20

"Windows 10 Feature Update Downloaded status reverted to No"ってこういうことだと思うのです

以下のブログポストをソースに記事にしている某 IT 系メディアの記事を、それを転載している〇天ニュースサイトで見かけたんですが... (→フィードバックしたところ、10/23 に問題の記事は訂正されました)

Windows 10 Feature Update Downloaded status reverted to No (Configuration Manager Blog)
https://techcommunity.microsoft.com/t5/configuration-manager-blog/windows-10-feature-update-downloaded-status-reverted-to-no/ba-p/1791194

このブログポスト自体が説明不足で、それをソースにした記事は 2020年10月13日(PT)に機能更プログラム(機能アップデートって書いちゃってるけど)がリリースされたけど、ダウンロードステータスが「No」に戻されたみたいになって訳が分からない状態に。20H2 って出ちゃったの?って思った人もいたはず(実は、私もその一人、さっきちょっと焦った→ 10/21 JST に 20H2 が出てしまったから、問題の記事はさらにややこしいことに)。

訳が分からなくなっているのは、Configuration Manager Blog のポストだということを考慮していないから。10 月に CVE-2020-16908 のセキュリティ修正がおこなわれたんですが、10 月の累積更新には入っていないということに関連しての、Microsoft Endpoint Configuration Manager(旧称、System Center Configuration Manager、ConfigMgr)の対応ですね。

2020 年 10 月のセキュリティ更新プログラム (月例)(Microsoft Security Response Center |Japan Security Team)
https://msrc-blog.microsoft.com/2020/10/13/202010-security-updates/

"2020 年 10 月の定例リリースに公開された Windows 10 Setup に関する脆弱性情報 CVE-2020-16908 に対するセキュリティ更新プログラムのリリースはありません。サポート対象の機能更新プログラムのバンドルを更新し、本脆弱性への対応を行っています。詳細は脆弱性情報をご参照ください。”

10 月に修正版に更新されたのは Windows Update や WSUS、その他のツール、Windows 10のダウンロードからの手動アップグレードで機能更新プログラムによるアップグレードを実行したときにオンデマンドでダウンロードされる DU(Dynamic Update)パッケージってやつ。詳しくは、以下の CVE の説明を参照。

CVE-2020-16908 | Windows セットアップの特権の昇格の脆弱性
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2020-16908

CVE に説明されていますが、"この脆弱性は、以前のバージョンの Windows から新しいバージョン(・・・省略・・・)にアップグレードするときに常に一時的に実行される、Windows 10 セットアップにのみ存在します”だそうで、その部分を機能更新プログラム本体ではなく、DU パッケージで修正したよってこと(だと思う)。

“Windows 10 Feature Update Downloaded status reverted to No”に書いてある“now show a status of Downloaded = No under the All Windows 10 Updates node”てのは、たぶんたぶんたぶんですけど、Microsoft Endpoint Configuration Manager でのダウンロード ステータスの話。日本語環境だと「ソフトウェア ライブラリ\Windows 10 のサービス\すべての Windows 10 更新プログラム」の「ダウンロード済み」列ところを「いいえ(No)」にしたってことだと思うんです。”配布用パッケージの準備できてたみたいやけど、先週、ダウンロード済みでなくしちゃったよ。DU 更新されたからやり直してけろ、てへ”ってことだと思います。

(この機能を使ったことないしから空っぽの画面をどうぞ↓)


WSUS 単体でこの脆弱性に対処しながらアップグレードしたいなら、WSUS の場合は機能更新プログラムとともに CVE-2020-16908 で説明されている更新された DU(ver 1803、1809、1903、1909、2004)を承認すればいい。ver 1903 に対する ver 1909 への有効化パッケージの配布の場合はたぶん必要ない(アップグレードインストールじゃないから)。

Windows Update や Windows Update for Business、Microsoft Intune による機能更新プログラムによるアップグレードや、Windows 10 のダウンロードからの手動アップグレードは 10 月 13 日(PT)以降であれば脆弱性解消済み。最新の DU をダウンロードして使うことになるので。

2020年10月13日(PT)のまさにその微妙なタイミングで Windows Update で機能更新プログラムをダウンロードが始まっていた人のダウンロードが無効になるわけではないし、以前にダウンロード済みのISOイメージ(Visual Studioサブスクリプションとか)が利用できなくなるわけでもないと思う(脆弱性はあるけど神経質になるほど簡単に悪用できる脆弱性じゃないと思うし、どうしても ISO イメージに組み込みたいなら、DU パッケージを ISO イメージに入れ込めばいい、悪用されるとしたら企業が自動配布してるところにこっそり悪いこと仕込むような感じ?)。

もちろん、2020年10月13日(PT)に新たな機能更新プログラムなど出ていない(バージョン 20H2 はまだ。10 月中だとは思いますが 11/1 JST までまだ 12 日間ある)

10/21 追記: 20H2 が出てしまった。現在、2004 を実行中なら、Windows Update に案内が出るまでまったほうがいい。以下からの手動アップデートの場合、フルダウンロード(数GB)だけど、Windows Update からなら小さな有効化パッケージで短時間で済むから。

Windows 10 のダウンロード
https://www.microsoft.com/ja-jp/software-download/windows10

0 件のコメント:

コメントを投稿

注: コメントを投稿できるのは、このブログのメンバーだけです。