treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

2022年10月のWindows Update

WindowsUpdate

月例更新を含むWindows Updateの適用を実施しましたのでご報告です。
今月はPCよりサーバ製品が気になる月になりそう。

悪意のあるソフトウェアの削除ツール

OS共通の更新プログラム

  • 悪意のあるソフトウェアの削除ツール x64 - v5.106 (KB890830)

毎月恒例です。

Windows10

21H1で確認。

  • 2022-10 x64 (KB5018544) 向け Windows 10 Version 21H1 用 .NET Framework 3.5、4.8 および 4.8.1 の累積的な更新プログラム
  • 2022-10 x64 ベース システム用 Windows 10 Version 21H1 の累積更新プログラム (KB5018410)

ちょっと気になったのはSandy Bridge世代のThinkPad T420sで更新を適用するとき、Windows Update以外は動かしていなかったのですがCPUの使用率が100%となってしまい、いつもより動作が緩慢になっていることに気づきました。そろそろ厳しいのかなぁ

LTSB(LTSC)の1607は、

今月はSSUもなく月例の更新プログラム一つだけで完了しました。

  • 2022-10 x64 ベース システム用 Windows 10 Version 1607 の累積更新プログラム (KB5018411)

Windows11

テスト用Windows11の更新。

  • 2022-10 x64 ベース システム用 Windows 11 の累積更新プログラム (KB5018418)
  • 2022-10 x64 (KB5018546) 向け Windows 11 用 .NET Framework 3.5、4.8 および 4.8.1 の累積的な更新プログラム

先月と変わらない月例更新が二つ。まだ21H1なので、22H2にバージョンアップを考え中です。テスト環境だし。

Windows8.1

Windows8.1、Final Countdown中

  • 2022-10 x64 ベース システム用 Windows 8.1 向けセキュリティ マンスリー品質ロールアップ (KB5018474)
  • 2022-10 Windows 8.1 (x64 版) 用 .NET Framework 3.5、4.6.2、4.7、4.7.1、4.7.2、4.8 のセキュリティおよび品質ロールアップ (KB5018549)
  • 2022-10x64 ベース システム用 Windows 8.1 サービス スタック更新プログラム (KB5018922)

ん?SSUが来ています。最初の適用では気づかなかったのですが、今月はWindows8.1はSSUがあるようです。適用後も再度更新の確認を忘れず実施推奨のよう。

サービススタック更新プログラム

Windows8.1でサービス スタック更新プログラム (KB5018922)の適用が見て取れたので、ページを確認してみましたが、SSUのWindows 8.1/Server 2012 R2向けパッケージは5017398=2022年9月のままでした。

https://msrc.microsoft.com/update-guide/vulnerability/ADV990001

今後更新される可能性もあるので、一応確認しておきます。

気になった脆弱性

今月はMicrosoft Exchange関連の脆弱性についての情報に既知の不具合への対処が追加されたのがきになりました。
詳しくはExchange チームのブログの以下
■Released: October 2022 Exchange Server Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-october-2022-exchange-server-security-updates/ba-p/3646263

脆弱性自体は8月に公表されたもの。Exchange Online(365提供)では既に対処されているらしいけど、オンプレミスはセキュリティアップデートを適用しなきゃいけないこの脆弱性に対処すると、Outlookのプローブが正しく動作しなくなるという不具合が発生するらしい。この既知の不具合への対処について情報が更新された(らしい)ですが、Outlookのプローブに関する記述は見つけられなかったので、情報の更新待ち。

その他の情報も以下を一読して確認、
■2022 年 10 月 のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2022/10/11/202210-security-updates/

CVE-2022-41033(Windows COM + イベント システム サービスの特権の昇格の脆弱性)は既に攻撃されている事例があるらしいので気にしておくようにします。

あと、先月<https://blog.treedown.net/entry/2022/09/15/010000>気にしていたActive DirectoryのKerberos認証の特権属性証明(PAC)が今月の更新プログラムで強制適用フェーズを迎え、ドメインコントローラでの更新プログラム適用に注意が必要になりそう。

※参考:KB5008380 - 認証の更新プログラム (CVE-2021-42287)
https://support.microsoft.com/ja-jp/topic/kb5008380-%E8%AA%8D%E8%A8%BC%E3%81%AE%E6%9B%B4%E6%96%B0%E3%83%97%E3%83%AD%E3%82%B0%E3%83%A9%E3%83%A0-cve-2021-42287-9dafac11-e0d0-4cb8-959a-143bd0201041

サーバ製品はちょっと気にすることが多くなりそうな10月の更新プログラムです。