「Badlock」脆弱性の詳細が公開、誇大広告として批判される 10
ストーリー by headless
誇大 部門より
誇大 部門より
WindowsおよびSambaの脆弱性「Badlock」の詳細が12日に公開され、パッチの提供も始まった。しかし、事前の告知に反して深刻度の低いものだったため、誇大広告として批判されている(The Registerの記事、
InfoWorldの記事、
Ars Technicaの記事、
Softpediaの記事)。
Badlockはセキュリティアカウントマネージャー(SAM)およびローカルセキュリティ機関(ドメインポリシー)(LSAD)リモートプロトコル(SambaではSAMRおよびLSA)の脆弱性。WindowsではCVE-2016-0128、SambaではCVE-2016-2118が割り当てられている(Microsoftのセキュリティ情報: MS16-047 / KB3148527、 Sambaのセキュリティ情報、 Sambaのセキュリティリリース ダウンロードページ)。
攻撃者はこの脆弱性を利用した中間者攻撃によりSAMデータベースへのアクセスが可能になる。ただし、SMBプロトコル自体の脆弱性ではなく、CVSS v3スコアは5.9(深刻度: 中)、Microsoftの深刻度評価でも2番目の「重要」となっている。それでも脆弱性には違いないので、なるべく早く更新を実行するようにしよう。
Badlockは非常に重大な脆弱性としてシステム管理者へのパッチ適用準備が呼びかけられ、特設サイトまで用意した異例の事前告知はキャッチーな名前やロゴで注目を集めていた。
Badlockはセキュリティアカウントマネージャー(SAM)およびローカルセキュリティ機関(ドメインポリシー)(LSAD)リモートプロトコル(SambaではSAMRおよびLSA)の脆弱性。WindowsではCVE-2016-0128、SambaではCVE-2016-2118が割り当てられている(Microsoftのセキュリティ情報: MS16-047 / KB3148527、 Sambaのセキュリティ情報、 Sambaのセキュリティリリース ダウンロードページ)。
攻撃者はこの脆弱性を利用した中間者攻撃によりSAMデータベースへのアクセスが可能になる。ただし、SMBプロトコル自体の脆弱性ではなく、CVSS v3スコアは5.9(深刻度: 中)、Microsoftの深刻度評価でも2番目の「重要」となっている。それでも脆弱性には違いないので、なるべく早く更新を実行するようにしよう。
Badlockは非常に重大な脆弱性としてシステム管理者へのパッチ適用準備が呼びかけられ、特設サイトまで用意した異例の事前告知はキャッチーな名前やロゴで注目を集めていた。
HeartBleed以来かな (スコア:0)
脆弱性に名前つけたりロゴつけたり特設サイト立てたりするブームが少しはおさまってくれるといいんだが。
Re:HeartBleed以来かな (スコア:1)
Re: (スコア:0)
一部違うのも混じってるけどTLS関係がやたら多いな
Re:HeartBleed以来かな (スコア:1)
確かに過熱感はあったかも。
本当に重要な脆弱性が、プロモーションが足りないという理由でなおざりになっちゃったら本末転倒なわけで。
Re: (スコア:0)
いや、本当に重大だったら、2000年問題みたいにしてくれたっていいんだけど。本当に重大だったら。
Re: (スコア:0)
騒ぎになってくれないと、更新予算が付きにくいことがあるのが悩ましい。
狼少年になっても困るけどさ。
必殺とか言いたくねえんだけどな 大人の事情でよ (スコア:0)
Badluck「一撃必殺 スフィアデサイド!」 ← 誇大広告
Re: (スコア:0)
実は、今回発表された脆弱性は真のBadlockを隠すためのカバーで、現在配布中のパッチで人知れず真Badlockをふさぐ(若しくは緩和する)目的なのかも…(厨二並感)。
Re: (スコア:0)
バレてる!!
プロトコル欠陥かとビビってたのは確かだけどね (スコア:0)
そこまで行かなかったのは幸いだけど、権限関係だからなぁ。
誇大ってのはどうだろう。。。