2014年04月17日

Windows8.1Updateの適用には適用期限がある

先日配布が始まったWindows 8.1 Update。現在更新プログラムとしては提供されていますが、強制的にインストールされるようなまでにはいたってません。もちろんすでに適用済みの方も多いかと思います。

さて今回は、このWindows 8.1 Updateには適用期限があったというお話です。適用期限があるといっても、一定期間後にはインストールできなくなるという意味ではありません。

マイクロソフトのブログにも、"一般のお客様にとっては、Windows 8.1 Updateは、Windows 8.1デバイスを最新状態に維持するために必須のアップデートです。5月13日以降にWindows Update から新しいアップデートを受け取るためには、今回のアップデートのインストールが必須です"(ブログより引用)とあるように、このUpdateがされていないと、以降のUpdateは、これがあたってから出ないとインストールされなくなるようです。
現在はWindows 8.1 Update も強制的にはインストールされませんが、"今回のアップデートは5月13日より前にバックグラウンドでインストールされることになる" とあるように、5/13までには、Windows Updateで自動インストールされるようですから、普通にUpdateができていれば問題ないと思いますが、ニュースにもありますがUpdateは手動でやっているなど何らかの事情でUpdateができていないという場合には注意が必要です。

<参照>
「Windows 8.1 Update」の適用期限、企業ユーザーは8月まで延長/Internet Watch
Windows 8.1 Update : WSUS での公開と展開タイミングの延長について/The Official Microsoft Japan Blog
posted by クリック at 22:40| 東京 ☀| Comment(0) | TrackBack(0) | Windows8.1/RT8.1 | このブログの読者になる | 更新情報をチェックする

Open SSLの脆弱性問題でユーザーが気をつけておくべきこと、そして知っておくべきこと

先日、ネットのニュースでも、"ネット史上最大のバグ?" とも報じられた、OpenSSLの問題。
次々にさまざまなチェックツールやサイトも出てきて、さらには、新聞などでも報道されるようになり、その深刻さがますます明らかになってきています。

とはいえ、ユーザーの側でできることが限られていることから、それなに?と思われている方も多いのかもしれませんね。

ネット史上最大のバグ?とも言われているOpenSSLの脆弱性

一度上記のような形でご紹介させていただきました。

さてその後ですが、実はユーザー側でも注意しないといけない問題がいくつか出てきています。
その一つが、ブラウザ側の設定の問題。実は、普段何気なく利用しているブラウザではありますが、既定の設定で使っていても問題ないと思われがちですが、それがちょっと違うんです。

OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について/IPA

上記のIPAのサイトにも比較的わかりやすくユーザーの取り組みについて紹介されていますが、今回のOpenSSLの問題は、ブラウザ側でも、"証明書の失効確認を有効にする" 設定がきちんとされていないといけないのですが、一部のブラウザでは、既定では有効ではありません。
その代表が、Google Chrome。あるいは、Google Chromeと同じエンジンを使っているSleipnir5も同様でした。

20140417-1.jpg
* Sleipnir5 の設定画面。ブラウザ、左上の "Sleipnir" をクリックして、エンジン設定>Blink設定 とクリックして設定画面に入ります。

20140417-2.jpg
* Google Chrome の設定画面。先ほどのSleipnir5と非常に似てますが、こちらが本家。ブラウザを起動し、右上のメニューをクリックして、設定>詳細設定を表示... とクリックすると、HTTPS/SSLの証明書の管理という項目が表示されます。

でさらに今日になって、

トレンドマイクロのパスワード管理ソフトでOpenSSL脆弱性による漏えいか

といった情報も。こっちはMAC版みたいですが、次々にいろいろな関連の情報も。さらに、実際に悪用されている例と、それに伴う逮捕者も出ているという事実...

OpenSSLの「心臓出血」脆弱性、悪用の疑いで逮捕者

加えて、以前から指摘されていたようですが、問題とされて報道されたDNSサーバーの問題もあります。これもユーザー側では何ともしようのないことではありますけど。

いずれにせよ、こうしたセキュリティがらみの情報には、今後も、注意したいですね。


2014/4/18 更新追加情報

シマンテックから、今回のOpenSSLの脆弱性にともなう、企業あるいは個人がどのように取るべきか?その対策について説明されたPDFが公開されています。ぜひ一度ご覧ください。

Heartbleed脆弱性

上記サイトの、"Heartbleed 〜OpenSSL の脆弱性〜" をクリックするとダウンロードできます。

またセキュリティレスポンスブログやインフォグラフィックなどの情報も非常に参考になります。



<参照>
インターネットの根幹「DNS」に根本的欠陥が見つかる/BLOGOS
OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について/IPA
Chromeは既定だとオンラインで証明書の失効確認していないので設定方法を調べてみた/piyolog
Google Chrome、SSL証明書のオンライン失効チェックを無効に/ITmedia
正しいサイトを開いても「偽サイト」にすりかわる恐れ -- 「パンドラの箱」と呼ばれるネットの欠陥見つかる/インターネットコム
インターネットの根幹「DNS」に根本的欠陥が見つかる/BLOGOS
SSLサーバ証明書を確認してみよう!/小悪魔女子大生のサーバエンジニア日記

posted by クリック at 19:10| 東京 ☀| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする