パスワードを忘れた? アカウント作成
14023756 story
Windows

Windows 10 更新アシスタントに脆弱性 78

ストーリー by headless
微弱 部門より
「Windows 10 更新アシスタント」(Windows 10 Update Assistant)にローカルでの特権昇格の脆弱性(CVE-2019-1378)が発見されたそうだ(セキュリティ更新プログラムガイドBleeping Computerの記事Softpediaの記事)。

この脆弱性を悪用すると、ローカルの攻撃者がシステム権限で任意のコードを実行可能になるという。ただし、発見者のJimmy Bayne氏がBleeping Computerに語ったところによると、特権昇格はアップデート実行中にコンポーネントを乗っ取ることで実現されるといい、実際の攻撃に使われる可能性は低いようだ。また、更新アシスタントは実行ファイルごとにアップデート先のWindows 10バージョンが決まっているため、対象バージョンへのアップデート完了後は攻撃不可能になるとみられる。

それでも過去に更新アシスタントの実行ファイルをダウンロードしたことがある場合は削除し、実行済みの場合はアンインストールすることが推奨されている。Bleeping ComputerではKB4023814が適用されたWindows 10にも更新アシスタントがインストールされているとして、こちらも削除することを推奨している。なお、現在「Windows 10のダウンロード」ページでダウンロード可能な更新アシスタントは脆弱性が修正されているとのことだ。
  • by Anonymous Coward on 2019年10月14日 14時32分 (#3700613)

    帰ろうとシャットダウンしたらアップデート開始、
    すると、翌日の勤務を考えると、もう一回立ち上げとかないと、
    って気分になって、帰るのが遅くなる。

    こうやって、無駄なコストを発生させている。
    価格に乗ってないから見えないし、MSにも一銭も入らないんだけどさ。

    他の分野だったら考えられない。
    工学的に、客観的に、安全性を測る方法が確立されてないとは言え、
    もうちょっと、なんとかならんもんかいな、って思う。

    ここに返信
    • by Anonymous Coward on 2019年10月14日 18時42分 (#3700691)

      どのバージョン使っているかわかんないけど、Windows 10ならこんな方法 [121ware.com]を参照すれば更新しないでシャットダウンする方法がある。Windows 7でもAlt+F4で出るシャットダウン画面で同じ様な事ができる(Windows 10でもAlt+F4で同じ様にシャットダウン画面は出ます)。帰るときはこの方法で普通にシャットダウンして、翌日の出社後の時間がある時に更新すればいいのではないでしょうかね。もちろん勤務時間中に自動更新が始まらないように設定はしておかないといけないですけどね。
      # 私も素人みたいなものですが、以前同じ様な事でどうしたものかと調べたらすぐにわかりましたよ。

    • by Anonymous Coward

      > 帰ろうとシャットダウンしたらアップデート開始、
      シャットダウンせずに帰れば勝手にアップデート完了して再起動されてるよ

      • by Anonymous Coward

        待機電力削減のため、終業後のPC・モニター・プリンタ等のAC電源ラインカットはコスト意識高い系企業のデフォです。
        輪番停電もあって、東日本大震災を機に導入したところも多いですね。

        それと、防火に関わってくるので、官公庁や大手製造業だと、機材の24時間稼働には申請が必要なこともあります。
        ラインじゃない事務室でも、最終退室者の点検で、人が管理していない電源の入った機材が見つかれば、
        防火管理不徹底を疑われるケースもあります。
        ・「終業時の火元責任者による元栓の閉止確認、電源オフ確認はしているか」(引用:総務辞典 > 防火管理 > 火気使用管理 [g-soumu.com])

        • by Anonymous Coward

          それADでスリープ移行の設定しておけばいいだけじゃない? 電源管理あたりの設定出来なかったっけ(ADに詳しくないので知らん
          最近のWindowsはスリープしてても勝手に立ち上がってアップデートして時間経ったらまたスリープしてくよね

          • by Anonymous Coward

            ? 主電源オフなのにスリープってどうやるの? 配電盤のNFBをADが管理できるの?
            ノートPCならバッテリーで動くだろうけど。

            そもそも防火のルールが「人が長時間不在となる場所に通電させるな」なのに、
            勝手に立ち上がっちゃだめだろう…。
            火元責任無視するくらいなら、Windows Updateを無視した方が何百倍もマシだぞ。
            世間的にも。

            • by Anonymous Coward

              ああ物理電源まで切るのか
              そりゃどうしようもないな

    • by Anonymous Coward

      「更新してシャットダウン」を選択して帰ればいいだけ。馬鹿じゃねーの。

      • by Anonymous Coward on 2019年10月14日 18時18分 (#3700682)

        「更新してシャットダウンしてアップデートしてログオンしてログオン後処理までやってログオフしてシャットダウン」がないんだよな
        やらんと初回ログオンで後処理始まって待たされるし一応自動化する方法あるんだけどなんか設定が細かくてめんどくさい

        • by Anonymous Coward

          そんな脆弱性の塊みたいな機能つけるわけないだろ

          • by Anonymous Coward

            操作可能になる必要はないしやって出来なくはないんだろうけどそれはおいといて。

            ログイン画面が出るまでにもたっぷり後処理走るのは言い訳できんだろ。
            途中で何回再起動挟んでも良いから、
            次回電源投入時に走らせる後処理残したままシャットダウンはしないでくれ。

    • by Anonymous Coward

      >って気分になって、帰るのが遅くなる。
      完全にお前の問題じゃねーかwww

    • by Anonymous Coward

      素人だから勝手なこと書くけどさ

      もうちょっと、なんとかならんもんかいな、って思う。

      こういう素人に、わざわざパソコンなんか触らせないで、体力さえあればできる肉体労働をさせとけば解決する。

      他の人も指摘してるが「更新してシャットダウン」で事足りるのに、阿呆な素人判断で余計なことして、その時間、給料泥棒してるだけじゃん。
      Windowsなんか関係ない、人材配置が間違ってるだけの話だこれ。

      • by Anonymous Coward

        多分会社(組織)の問題じゃないかな?
        電撃落ちるの確認してから帰れとか。

        • by Anonymous Coward

          過電流でPC壊れそうだな

        • by Anonymous Coward

          防火責任が問われるケースがあるため、人が長い時間不在となる場所で通電し続けていけないケースが多々あります。
          問題というより、責務の話です。

          • by Anonymous Coward

            防火責任が問われるケースがあるため、人が長い時間不在となる場所で通電し続けていけないケースが多々あります。
            問題というより、責務の話です。

            そういう場所なら「電源が正常に切られていることを確認してコンセント抜く」までが業務だから、コンセント抜いたあとに退勤時刻を記録すれば良いだけ。判例やら厚生労働省の是正勧告やらでも「始業の準備や就業後の後片づけも業務の一環だから、勤務時間に含まなければ違法」って言われてるべ。
            (そもそもPCなんてコンセント抜かない限り通電してるからな?防火責任云々で問題になるような場所なら、コンセント抜くなり、大元のブレーカー落としてるのは当たり前だよな?それを「シャットダウンすればいい」なんて思ってるならバカだぞ)

            # 他のレスでも出てるけど、PCの電源切ったらその後は残って仕事しててもカウントされないとか、ただのブラック企業だよ
            # もちろんブラック企業が存在するのは(肯定はしないが)事実だけど、そんなのにあわせてWindows設計しろなんて難癖だ

            • by Anonymous Coward

              話を逸らしてますね。
              「更新してシャットダウン」を選択する話に、なぜ、ブラック企業の話が出てくるんですか?
              むしろホワイト企業で起きている話ですよ。

              防火責任が問われるケースでは(軽視しているかどうかの違いで、普通どのビルでもそうですが)、
              「更新してシャットダウン」を選択したら、更新が終わるまで最終退出が出来ずに業務が続いて
              帰れない、という生産性が下がる話であって、退勤時刻を記録って全く関係ない話だろう。

              あと、まさに、コンセント抜く話をしてますよ。最終退出で連続通電申請していない配電盤

              • by Anonymous Coward

                話を逸らしてますね。
                「更新してシャットダウン」を選択する話に、なぜ、ブラック企業の話が出てくるんですか?
                むしろホワイト企業で起きている話ですよ。

                本当にホワイトなら「更新してシャットダウンして、シャットダウンが終わり次第、跡片付けして帰る」で事足りるから。
                #3700668 [srad.jp]みたいなブラック企業か、あるいは単にユーザーが無知で「更新してシャットダウン」を知らないかのどちらかでない限り、現状の仕様で問題ない。

                防火責任が問われるケースでは(軽視しているかどうかの違いで、普通どのビルでもそうですが)、
                「更新してシャットダウン」を選択したら、更新が終わるまで最終退出が出来ずに業務が続いて
                帰れない、という生産性が下がる話であって、退勤時刻を記録って全く関係ない話だろう。

                それは別に「更新してシャットダウン」でなく、起動時に更新が走る場合でも変わらないのだが?

              • by Anonymous Coward

                WSUSが、人のスケジュールに合わせて動くなんて聞いたことないけど。
                突然客先に出向くことになり、直帰することになったから、その間にWindows Updateかけてシャットダウンまでしといてね、なんて、WSUSにお願いできるの?

                貴方は、PCの前にふんぞり返る仕事しか知らなさそうだから、なんの参考にならなさそうですね。
                PTSDじゃなくて世間知らずだったか…。

              • by Anonymous Coward

                なんだろ、この痛さ。
                Microsoftさんも、こんな罵詈雑言はくクズにダシに使われたくないだろうよ。

                #3700770 [srad.jp]は
                - 更新を待つ時間を無駄と思わず、コスト意識がない。
                - 業務の邪魔にならないタイミングをシス管が把握できると妄想している。企業内の業務の幅が想像すら付いていない。
                - Windows Updateを「シス管にやらせればいい」と丸投げ。
                - 居室の最終退出の点検を他人がやる作業だと思っていて、したことも説明も受けたことすらない。なんの長にも責任

              • by Anonymous Coward

                自分が本来の業務以外のアシとかにやらせる仕事まで抱えるブラック企業に勤めてる自慢はいいからさ

              • by Anonymous Coward

                タコとか太字にしちゃってあんた精神やばいから、病院行ってデジタルデトックスの治療受けな。
                あんたはMicrosoft社員じゃないんだから、Microsoftを傘にきて二度と喋るな。

              • by Anonymous Coward on 2019年10月15日 10時11分 (#3700878)

                できますよ、正確にはグループポリシーですが。
                手動更新もできますし、マジックパケット投げつけて起動、個別にバッチ更新もできる。

                やり方次第で色々ですわ。そんぐらいの無茶ぶりぐらいなれてます。

            • by Anonymous Coward

              読み返したけど、このスレの流れのどこにブラック企業と紐付く要素がありますか?
              PTSD患ってるなら同情するけど、勤怠トラブルの話など誰もしてないので、貴方の杞憂ですよ。
              明日も早いだろうし、今日はもうお休みになったら如何か?

      • by Anonymous Coward

        「もう一回立ち上げとかないと」ってことは
        「更新してシャットダウン」後の起動で更新の続きが始まるやつじゃね?

        うちの会社自分のPC起動後にタイムカードのアプリで出勤にするんだよね
        前日に「更新してシャットダウン」したけど
        起動後「更新しています」で出勤時刻回ってしまった(;^ω^)
        後5分早く来ておけば・・・

        だからこの場合の対処方法は「更新して再起動」して電源つけっぱで帰るだな

        • by Anonymous Coward

          そんなギリギリで出社するのがアホ。
          電源つけて使える状態になるまでにトイレ行ったり朝食とったり机の整理したりしてりゃーいい

          • by Anonymous Coward

            余裕を持って出社しても、起動時更新の挙げ句、起動不能になることもあって、
            セーフモードにして戻せればいいけど、それはそれで時間かかるし面倒だし。
            というケースが、Windows10になってからは多く目にするのがなぁ・・・

        • by Anonymous Coward

          時間の使い方下手だなー。仕事できないの丸わかり。昼休みに更新しときゃいいだろうに。

          • by Anonymous Coward

            1時間以内でちゃんと終わればいいけどね

            • by Anonymous Coward

              15分の仮眠取ってる間に終わってるよ

    • by Anonymous Coward

      無能な人って自分の無能さに気が付かないから無能なんだよね
      そして道具を使えない自分の無能さを道具のせいにする

    • by Anonymous Coward

      Mac使えよ5年後突然壊れるけどな

      • by Anonymous Coward

        5年もちゃ十分じゃね?Mac関係なく。
        まぁ、それ以上もつにこした事はないけど。

  • by Anonymous Coward on 2019年10月14日 12時11分 (#3700592)

    更新での不具合を、脆弱性として突く例が増えてるのでは?
    不具合が新たな脆弱性を生むという笑えない状態になってる。

    ここに返信
  • 上記の通り…合掌…

    ここに返信
    • by Anonymous Coward

      2000ユーザーやXPユーザーによるとセキュリティソフトさえ入れていれば
      いくら脆弱性があろうとも全く問題ないらしいですよ?

      • by Anonymous Coward

        今、Win2000・XPを動作環境に含めているセキュリティソフトを挙げてみろよ。
        「2000ユーザーやXPユーザー」を具体的に示すのでもいいけど。
        挙げられないなら、お前の言う「2000ユーザーやXPユーザー」は妄想な。
        もしくは、何年も前の話を言い続ける老害。

        虚言癖のある奴がネットに投稿するのは、止めて欲しいね。

        • by Anonymous Coward

          皮肉にガチギレとか小学生かよ

          • by Anonymous Coward

            大学生くらいでしょう。
            前世代の話題になると見境い無くすから。デジタルネイティブって。

      • by Anonymous Coward

        誰がそんな極端な事言ってたの。。。

        • by Anonymous Coward

          いまだにそれらを平気な顔で運用してる組織は高確率で言うと思う。

    • by Anonymous Coward

      更新アシスタントって、なんらかの理由でwindowsの更新で拾えないパッチを掴んできて入れるための外部アプリ
      みたいな位置付けのものだったような
      だから普通の使い方してる人が触る事は滅多にないと思う
      そういうものにまでセキュリティの穴探してくれる人がいて、即座に修正されてるならむしろ恵まれてるんじゃないかな

  • by Anonymous Coward on 2019年10月14日 13時11分 (#3700600)

    つーかMSはどうしてIEにしろ、DirectXにしろ、昔からやたらと差分アップデートさせたがるの?
    おまえらもう月例アップデートでも全てが累積更新プログラム方式に変えたんだから、アップデート以外の配信も全部固めて配信をデフォルトにしろよ。
    こういう時だけ差分で済まそうとしてんじゃねえ。

    ここに返信
    • by Anonymous Coward

      配信だと、回線がはい死んだになるからでしょうな。

    • by Anonymous Coward

      isoって所がもうおじいちゃん発想

      • by Anonymous Coward

        いうてUSBブータブルインストーラでもiso使う事ありますしおすし

typodupeerror

Stableって古いって意味だっけ? -- Debian初級

読み込み中...