米Microsoftは1月23日(現地時間)、Windows 10/11向けに2024年1月度の非セキュリティプレビュー更新プログラムをリリースした。Windows 11 23H2/22H2向けがKB5034204、Windows 10 22H2向けがKB5034203となる。
Windows11向けの更新プログラムでは、以下のような機能が追加されている。
なお、非セキュリティプレビュー更新プログラムは、月例のセキュリティ更新プログラムに先駆けて変更内容をプレビューする目的のものだ。適用は必須ではなく、オプションを有効にしていなければ自動でアップデートされることもない。アップデートしなかった場合、基本的には翌月のセキュリティ更新プログラムと同時に適用される。
セキュリティ企業の仏Quarkslabは1月16日(現地時間)、UEFIのオープンソースレファレンス実装であるEDK II PXEブートに9件の脆弱性があるとし、その詳細を公開した。この脆弱性は2023年11月2日に開示予定だったが、多くのベンダーやサプライチェーンが関係し、それぞれ対応に時間がかかったことなどから、何度かの変更を経て1月16日の開示となった。
EDK IIには、PCをネットワーク経由で起動できるPreboot Execution Environment(PXE)が実装されている。データセンターなど、大量の端末に同じOSやソフトウェアを展開するために利用されているが、このPXEでも利用されるEDK IIのIPv6スタック実装に脆弱性が見つかり、ブートプロセスの初期段階でローカルネットワークからの攻撃が可能になるとのことだ。
これらの脆弱性は「PixelFall」と呼ばれ、ネットワークに侵入した攻撃者がファームウェアレベルでマルウェアを観戦させる可能性がある。具体的な脆弱性のリストは下記の通り。
PXEを利用していないほとんどの一般ユーザーにとっては、脆弱性の影響を受けないと考えられる。PXEを利用している場合は、最新のUEFIへの更新するなどの対策が必要だ。
Copyright © ITmedia, Inc. All Rights Reserved.