1月12日、MicrosoftはWindows10の新しいアップデートをリリースします。

1月12日、MicrosoftはWindows10の新しいアップデートをリリースします。

Windows 10、Windows 7、およびWindows 8.1オペレーティングシステムのロールアップパッケージに加えて、MicrosoftはOffice、Microsoft 365、およびSharepointサーバーのアップデートをリリースします。
パッチ火曜日:1月12日、MicrosoftはWindows10の新しいアップデートをリリースします

セキュリティへの焦点のシフトは、パッチ2021の最初の火曜日に期待できることです。 2020年は他に類を見ないものでしたが、2021年もユニークに見えます。

この年は、SolarWindsOrionソフトウェアハッキングの原因を調査し続けることから始まりました。多くの予測は、2021年に別の大規模なサイバー攻撃の可能性を指摘しましたが、このタイプの攻撃とその業界への影響を誰も予測できませんでした。この攻撃は、セキュリティとソフトウェア開発の問題に注目を集めました。

攻撃は、SolarWindsOrionソフトウェアソリューションに組み込まれたリモートアクセストロイの木馬を使用して実行されました。このタイプの攻撃は、マルウェアが信頼できる会社から信頼できる製品に追加およびコンパイルされるため、一般にサプライチェーン攻撃と呼ばれます。侵害されたソフトウェアがエンドポイントにインストールされた後、トロイの木馬はリモートネットワークにメッセージを送信し、エンドポイントへのアクセスが組織化されました。攻撃者は、検出されることを恐れることなく、侵害されたシステム上のファイルをリモートで読み取って変更する可能性があります。このシナリオは、ハッカーがフィッシングとソーシャルエンジニアリングを使用して被害者をだましてマルウェアをインストールさせようとする一般的な攻撃とは異なります。

SolarWinds攻撃に関与したサイバー犯罪者は、製品によって制御されるすべてのシステムへの接続を保証し、フィッシング攻撃は、マルウェアをインストールした被害者のランダムシステムへのアクセスを取得しました。前述のように、SolarWinds攻撃は、信頼できる有名な製品の一部として効果的に隠されていますが、フィッシング攻撃は、アンチウイルスプログラムを含むさまざまな方法で検出できます。

インシデントの調査により、マルウェアは2020年3月にSolarWinds製品に追加され、それ以降のすべての製品アップデートに含まれていることが判明しました。顧客がSolarWindsOrionの新しいバージョンでシステムを更新しても、リモートアクセスと侵害に対して脆弱なままでした。その後、専門のセキュリティフォーラムで興味深い質問や議論が行われたことは驚くべきことではありません。

SolarWindsインシデントは、開発マシンへのパッチ適用、コード開発のアウトソーシング、合併や売上高の中でのコード機能の監視と理解、コードレビューなどの手順を含む、業界の一般的なソフトウェア開発セキュリティ慣行に疑問を投げかけています。セキュリティの問題を特定する方法。

SolarWindsの妥協の影響により、多くの企業は、ソフトウェア開発プロセスのセキュリティと法的側面の両方を再考し、再び焦点を合わせる必要があります。

セキュリティへの焦点のシフトは、2021年の最初のパッチ火曜日に期待できることです。 2020年には記録的な数の脆弱性が修正されましたが、企業が製品のセキュリティの向上に注力しているため、この傾向は今年も続くと思われます。

Microsoftは通常、1月にリリースするリリースが少ないため、更新やバグ修正が少なくなることを期待する必要があります。 Windows 10、Windows 7、およびWindows 8.1オペレーティングシステムのパッケージに加えて、Office、Microsoft 365、およびSharepointサーバーのアップデートがリリースされます。最新のサービススタックアップデート(SSU)も必ず探してください。毎月いくつかの新しいアップデートがあります。注意として、Windows 10バージョン2004以降では、サービススタックの更新が累積的な更新に含まれています。

2021年1月12日のパッチ火曜日は、Windows7およびWindowsServer 2008の拡張セキュリティアップデート(ESU)の最初の年を完了します。Microsoftは、有料ベースで少なくとも2年間のサポートを提供すると発表しました。

Adobeはリリースに関する予備情報を提供しませんでしたが、12月の「PatchTuesday」に同社はAcrobatとReaderのアップデートをリリースし、1月には別のアップデートが予定されています。 Adobe FlashPlayerのライフサイクルが終了したことを忘れないでください。製品の古いバージョンをアンインストールします。 Flash Games Preservation Project、Internet Archive、またはRuffle拡張機能を使用してFlashコンテンツにアクセスできます。

Appleは、12月14日の休日の直前にmacOS Big Sur11のセキュリティアップデートをリリースしました。今回は、iCloudとiTunes forWindowsのセキュリティアップデートが予定されています。
Google Chromeはバージョン87.0.4280.141に更新され、16のセキュリティバグが修正され、そのうち15が高い重大度の評価を受けました。今週、新しいパッチがリリースされる可能性は低いです。