Chromeに新たな生成AI機能を追加 文章作成支援など／2023年の国内PC出荷台数が過去最低に JEITA調べ：週末の「気になるニュース」一気読み！（3/3 ページ）

[山本竜也，ITmedia]

Windows 11／10の2024年1月非セキュリティプレビュー更新プログラム公開

　米Microsoftは1月23日（現地時間）、Windows 10／11向けに2024年1月度の非セキュリティプレビュー更新プログラムをリリースした。Windows 11 23H2／22H2向けがKB5034204、Windows 10 22H2向けがKB5034203となる。

MicrosoftがWindows 10／11に1月度の非セキュリティプレビュー更新プログラムの配信を開始した

　Windows11向けの更新プログラムでは、以下のような機能が追加されている。

• デッドロックが原因で、一部環境で「スタート」メニューでの検索が機能しなくなる問題を解消
• ビデオハングアウトの信頼性向上
• 印刷サポートアプリをインストール後に、断続的にデバイスが応答しなくなる問題を解消
• 問い合わせアプリを使用している際、トラブルシューティングプロセスが失敗する問題を解消
• Bluetooth Low Energy（LE）イヤフォンで音楽をストリーミングすると音が出なくなる問題を解消

　なお、非セキュリティプレビュー更新プログラムは、月例のセキュリティ更新プログラムに先駆けて変更内容をプレビューする目的のものだ。適用は必須ではなく、オプションを有効にしていなければ自動でアップデートされることもない。アップデートしなかった場合、基本的には翌月のセキュリティ更新プログラムと同時に適用される。

多くのUEFI／BIOSにPXEブート機能の脆弱性

　セキュリティ企業の仏Quarkslabは1月16日（現地時間）、UEFIのオープンソースレファレンス実装であるEDK II PXEブートに9件の脆弱性があるとし、その詳細を公開した。この脆弱性は2023年11月2日に開示予定だったが、多くのベンダーやサプライチェーンが関係し、それぞれ対応に時間がかかったことなどから、何度かの変更を経て1月16日の開示となった。

Quarkslabが、EDK II PXE機能の脆弱性を公開した

　EDK IIには、PCをネットワーク経由で起動できるPreboot Execution Environment（PXE）が実装されている。データセンターなど、大量の端末に同じOSやソフトウェアを展開するために利用されているが、このPXEでも利用されるEDK IIのIPv6スタック実装に脆弱性が見つかり、ブートプロセスの初期段階でローカルネットワークからの攻撃が可能になるとのことだ。

　これらの脆弱性は「PixelFall」と呼ばれ、ネットワークに侵入した攻撃者がファームウェアレベルでマルウェアを観戦させる可能性がある。具体的な脆弱性のリストは下記の通り。

• CVE-2023-45229：DHCPv6アドバタイズメッセージに含まれる構成を処理する際の整数アンダーフロー
• CVE-2023-45230：長いサーバIDオプションによるDHCPv6クライアントのバッファオーバーフロー
• CVE-2023-45231：切り捨てられたオプションを含むNDリダイレクト メッセージを処理する際の領域外読み取り
• CVE-2023-45232：Destination Optionsヘッダの不明なオプションを解析する際の無限ループ
• CVE-2023-45233：Destination OptionsヘッダのPadNオプションを解析する際の無限ループ
• CVE-2023-45234：DHCPv6 アドバタイズ メッセージのDNSサーバ オプションを処理する際のバッファ オーバーフロー
• CVE-2023-45235：DHCPv6プロキシ アドバタイズ メッセージからサーバIDオプションを処理する際のバッファ オーバーフロー
• CVE-2023-45236：予測可能なTCP初期シーケンス番号
• CVE-2023-45237：脆弱な疑似乱数発生器の使用

　PXEを利用していないほとんどの一般ユーザーにとっては、脆弱性の影響を受けないと考えられる。PXEを利用している場合は、最新のUEFIへの更新するなどの対策が必要だ。