ニュース

Microsoft、5月の月例パッチ公開、Creators Update以外のWindowsでもSHA-1証明書サイトをブロック

告知通りWindows Vista向け提供はなし、Windows 10「1507」向けは今回が最後

 日本マイクロソフト株式会社は10日、5月の月例セキュリティ更新プログラム(修正パッチ)の情報を公開した。脆弱性の最大深刻度は、4段階中で最も高い“緊急”が含まれる。

 Windows、Internet Explorer、Microsoft Edge、Office、Office ServersおよびWeb Apps、.NET Framework、Adobe Flash Playerに関するセキュリティ更新プログラムが、Windows UpdateやMicrosoft Updateカタログを通じて提供される。ウェブサイト「セキュリティ更新プログラムガイド」ではそれぞれの詳細な情報が提供される。

 対象となるのは、Windows 10のバージョン1703/1607/1511、Windows 8.1/RT 8.1/7、Windows Server 2016/2012 R2/2012/2008 SP2。サポートが終了したWindows Vista向けには今月より月例パッチの提供は行われない。また、Windows 10バージョン1507向けには今回が最後の提供となる。

 今回の更新プログラムを適用すると、SHA-1証明書を利用するウェブサイトをMicrosoft EdgeおよびInternet Explorer 11で表示した場合に「信頼しないサイト」として警告を表示し、サイトをブロックする設定がデフォルトで有効になる。これは、すでにWindows 10 Creators Update(1703)で先行しているもの。

 また、更新プログラムの提供にあわせ、「SSL/TLS証明書のSHA-1廃止」「.NET Core、ASP.NET Coreの脆弱性により、特権が昇格される」「Windows Updateクライアントによる更新プログラムの受信不具合を識別し、修正する」の新規セキュリティアドバイザリ3件が公開されている。

 なお、Microsoftでは、4月より提供を開始している「Windows 10 Creators Update(1703)」のみを対象に、現在月例で提供している「セキュリティ修正アップデート」に加え、セキュリティ修正を含まない「アップデート」を月に1回あるいは複数回提供するとの方針を発表している。

【お詫びと訂正 2017年5月10日 12:45】
 記事初出時、Windows 10 バージョン1507向けには月例パッチの提供がないと記載しておりましたが、今回提供分まで提供されます。お詫びして訂正いたします。

誤:サポートが終了したWindows VistaやWindows 10バージョン1507向けには今月より月例パッチの提供は行われない。
正:サポートが終了したWindows Vista向けには今月より月例パッチの提供は行われない。また、Windows 10バージョン1507向けには今回が最後の提供となる。