この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
2023年5月のセキュリティ更新プログラムには、最大深刻度「重要」の以下の3つの脆弱(ぜいじゃく)性問題に対する修正が含まれています。
(1)(2)は悪用の事実が確認されているゼロデイ攻撃の脆弱性であり、早急な適用を呼び掛ける記事を見た方も多いでしょう。これらの脆弱性は、広範囲のWindows OSに存在するもので、製品ライフサイクルサポート期間中の全てのWindowsに対し、累積的な更新プログラムに含める形で修正されました。おそらく、更新プログラムが提供されていない多くのレガシーなWindows OSにも、関連する機能(例えば「セキュアブート」など)を備えているのであれば、同じ脆弱性が存在し、そして放置されていることになります。
また(2)の「セキュアブートの脆弱性」は、Linuxも影響を受けるものであり、Linuxを利用している場合はLinux側での対応が必要です(WindowsとLinuxのマルチブートは注意が必要です)。
ゼロデイ脆弱性には、更新プログラムのインストールで対策されますが、それだけでは不十分なこともあります。例えば、Microsoftはこれまでも「セキュアブートのセキュリティ機能のバイパスの脆弱性」への対策として、「Windowsブートマネージャー(Bootmgr)」を更新してきました(「BlackLotus」UEFIブートキットとして知られるCVE-2022-21894などへの対応として)。
しかし、影響を受けるバイナリ(有効な署名のある古いWindowsブートマネージャーのバイナリ)が「UEFI失効リスト」に追加されてこなかったため、対策済みのデバイスでもこの脆弱性を悪用できる場合があったようです。
今回、2023年5月の「セキュアブートのセキュリティ機能のバイパスの脆弱性」への対策は、これまでとは少し異なります。2023年5月の更新プログラムのインストール直後時点では、まだこれまでの対策と同じように、Windowsブートマネージャーが更新されるだけです。これはまだ初期展開フェーズであり、CVE-2023-24932に対する保護は完全には有効にはなっていません(画面1)。
Copyright © ITmedia, Inc. All Rights Reserved.