【WinUp個別】要注意!修正?・・・KB5012170: Secure Boot DBX のセキュリティ更新プログラム【2022/9/1】

ステマ規制に関する表示

  当サイトでは、記事本文やサイドバー等に以下が設置されています。御理解の上サイトを利用ください。 1)アフィリエイト広告リンク 2)プロモーション記事 3)記事作成に当たって、販売業者からの提供を受けたハード/ソフト等を使用した記事

この記事を読むのに必要な時間は約 7 分です。

米国時間8/31に更新ということで、日本時間では9/1にKB5012170: Secure Boot DBX のセキュリティ更新プログラム: 2022 年 8 月 9 日が配信されました。

このKBは要注意ですから、少なくとも週末ぐらいまでは様子見の上導入するようにしてくださいね。

 

今回の注意点

このKBは要注意ですから、少なくとも週末ぐらいまでは様子見の上導入するようにしてくださいね。

また、9/1朝の時点ではWin11のものだけが公開されていますが、Win10などにも追加で公開されるのは間違いないと思いますので注意を払ってください。

参考:

【WinUp個別】2022年8月第3週のKB配信とKB5012170によるビットロッカーの不具合について【2022/8/17】

【2021年2月改訂版~最も厄介な障害】WinUp後BitLockerが勝手に有効になりログインできなくなるケースの原因と防止策【2021/2/21】

 

なお、私の手元では「配信されない」という状況です。(ASUS M/B@AMD)

【WinUp個別】WinUpの確認で落ちてこないKBがある?【2021/1/15】

 

OS・Ver.毎のKB配信

現在、Win11(21H2)・Win10(21H2・21H1・20H2)・Win8.1のKB配信情報をお届けしています。

 

記事に載っていないWin 10/11各Ver.の重要な更新は以下で確認してくださいね。

Windows 11 の更新履歴

Windows 10 の更新履歴

 

Win11(21H2)

ダウンロードリンク
KB5012170(セキュリティー)

2022-08 x64 ベース システム用 Windows 11 のセキュリティ更新プログラム (KB5012170)

KB5012170: Secure Boot DBX のセキュリティ更新プログラム: 2022 年 8 月 9 日

要約
このセキュリティ更新プログラムは、「適用対象」セクションに記載されているサポートされている Windows バージョンの Secure Boot DBX を強化します。 主な変更点は次のとおりです。

統合拡張ファームウェア インターフェイス (UEFI) ベースのファームウェアを持つ Windows デバイスは、セキュア ブートを有効にして実行できます。 Secure Boot Forbidden Signature Database (DBX) は、UEFI モジュールの読み込みを防止します。 この更新プログラムは、DBX にモジュールを追加します。

セキュリティで保護されたブートには、セキュリティ機能バイパスの脆弱性が存在します。 攻撃者がこの脆弱性を悪用した場合、セキュリティで保護されたブートをバイパスし、信頼されていないソフトウェアを読み込む可能性があります。

このセキュリティ更新プログラムは、既知の脆弱な UEFI モジュールのシグネチャを DBX に追加することで、この脆弱性を解決します。

このセキュリティの脆弱性の詳細については、次のアドバイザリを参照してください。

ADV200011 |GRUB でのセキュリティ機能バイパスに対処するための Microsoft ガイダンス

このセキュリティの脆弱性の詳細については、次のリソースを参照してください。

CVE-2022-34301 |Eurosoft ブート ローダー バイパス

CVE-2022-34302 |New Horizon Data Systems Inc ブート ローダー バイパス

CVE-2022-34303 |Crypto Pro ブート ローダー バイパス

既知の問題
問題
一部の元の機器製造元 (OEM) ファームウェアでは、この更新プログラムのインストールが許可されない場合があります。

次の手順
この問題を解決するには、ファームウェア OEM にお問い合わせください。

問題
BitLocker グループ ポリシーネイティブ UEFI ファームウェア構成の TPM プラットフォーム検証プロファイルを構成し、ポリシーで PCR7 が選択されている場合、更新プログラムのインストールに失敗する可能性があります。

PCR7 バインドの状態を表示するには、管理者権限を持つ Microsoft System Information (Msinfo32.exe) ツールを実行します。

次の手順
この問題を回避するには、この更新プログラムを展開する前に、次のいずれかの操作を行います。

資格情報ガードが有効になっていないデバイスで、管理者コマンド プロンプトから次のコマンドを実行して、BitLocker を 1 回の再起動サイクルで中断します。

Manage-bde –Protectors –Disable C: -RebootCount 1
次に、更新プログラムを展開し、デバイスを再起動して BitLocker 保護を再開します。

Credential Guard が有効になっているデバイスで、管理者コマンド プロンプトから次のコマンドを実行して、BitLocker を 2 回の再起動サイクルで中断します。

Manage-bde –Protectors –Disable C: -RebootCount 3
次に、更新プログラムを展開し、デバイスを再起動して BitLocker 保護を再開します。

 

今回の記事は以上です。

 

コメントを残す

CAPTCHA