今月のWindows UpdateはWindows7ユーザにとっては重要な更新プログラムが含まれているそうです。
これは把握しておいたほうが良さそう、という事でご報告。
Windows7用の更新プログラム
3月12日にセキュリティ更新プログラムとして公開される予定のアップデートを適用しなければ、7月以降の月例更新(更新プログラム)を適用してアップデートすることができなくなってしまう、というものです。
KB番号はまだ不明ですが、おそらくWindows Updateの公式で公表されるものと思われます。
単純に「3月のセキュリティ更新プログラムを適用しておかないと7月以降のWindows Updateは正常に適用できなくなる」と認識しておけばいいと思います。
ただし、この話はWindows7とWindows Server2008(R2含む)限定の話で、Windows8.1やWindows10は何の関係もしません。
でもWindows Server 2008を管理しているサーバ管理者は注意が必要ですね。
何が起きるのか
MS公式の文書4472027が詳しい解説となっています。
うーん、機械翻訳がやや読みにくいかも。ちなみに英語版の文書だとコッチ。
要約してみました。
-------------------------------------------------------
現状Windows Updateでの更新プログラムはSHA-1とSHA-2の両方のハッシュアルゴリズムを使用して二重で署名された状態で配信されており、その署名によって配信中に改ざんされていないことを確認することができます。
で、このSHA-1には脆弱性があることが以前から指摘されており、Windows Updateの更新プログラムもSHA-2に一本化する動きがあったものが、この7月からようやくSHA-2アルゴリズムに完全移行することになります。
レガシOS(Windows7 SP1とWindows Server 2008 R2 SP1とWindows Server 2008 SP2)を利用している場合には、2019年7月までにSHA-2コード署名のサポートをデバイスにインストールする必要があります。SHA-2サポートのないデバイスはインストールが出来ません。
この変更に備えて、2019年にSHA-2署名のサポートがリリースされる予定です。一部の古いバージョンのWSUSもSHA-2を適切に配信するためのSHA-2サポートを必要とします。
-------------------------------------------------------
要するにSHA-2サポートに一本化するから、そのための更新プログラムインストールしてね、ってMSさんが言っていると思えばいいのかと。
で続けて「Background details」以降には
-------------------------------------------------------
SHA-1は不可逆的なハッシュ関数として開発され、コード署名の一部として広く使用されています。残念なことに、SHA-1ハッシュアルゴリズムのセキュリティは、弱点やプロセッサの性能向上、およびクラウドの出現によってセキュリティが低下しているという側面があります。
で、SHA-2などのより強力な代替手段が強く推奨されている、という現状があります。
-------------------------------------------------------
てな具合に、最近の状況の背景を説明してくれています。
この解説に続いて、各OSのスケジュールが記載されています。
2019年3月12日:Windows7(SP1)とWindows Server 2008 R2 SP1、およびWSUS3.0 SP2
2019年4月9日:Windows Server 2008 SP2
ここ二つが大きな適用日になる、という事になります。
心配なこと
こういう更新プログラムを公開すると、最近のパターンとして
「なんか別の不具合が発生してしまって、適用できないんですけど…」
って状況に陥ることが多くあります。
このSHA-2サポートに対応するための更新プログラムが上記のように別の不具合を出さないとも限らない、そこはやっぱ心配ですね。
対策はお早めに、と言いたいところですが、慎重に適用する必要がありそうです。
追記:
実際に公開されたので、適用してみました。
