パスワードを忘れた? アカウント作成
14091267 story
Windows

Microsoft、1月のセキュリティ更新プログラムで米NSAから報告された脆弱性を修正 14

ストーリー by headless
報告 部門より
Microsoftは1月のセキュリティ更新プログラムで合計14件の脆弱性を修正しているが、このうちCVE-2020-0601には報告者として米国家安全保障局(NSA)が挙げられている(セキュリティ更新プログラムガイド CVE-2020-0601Microsoft Security Response Centerのブログ記事NSAのアドバイザリー: PDFNSAのニュース記事SlashGearの記事)。

CVE-2020-0601はWindows 10/Server 2016以降のCryptAPI(Crypt32.dll)が楕円曲線暗号(ECC)証明書を検証する方法に存在するなりすましの脆弱性。攻撃者は本物を装った偽のコードサイニング証明書で悪意ある実行ファイルに署名することで中間者攻撃が可能となり、影響を受けるソフトウェアに接続するユーザーの機密情報を復号できるという。Microsoftは脆弱性の深刻度を2番目に高い「重要」と評価するのに対し、CVSS 3.xスコアは「8.1 High」であり、NSAは「critical」「serious」と表現している。現在のところアクティブな攻撃は確認されていないとのことだが、脆弱性公表後にPoCが開発され、偽の証明書で偽のWebページを正規のWebページに見せかけるデモが何件か行われている。

NSAは発見したソフトウェアの脆弱性のほとんどを公表する一方で、状況によっては公表せず情報収集に使用することを明らかにしている。2017年にハッカーグループShadow Brokerが公開したNSAのエクスプロイト「EternalBlue」はWindowsの脆弱性(CVE-2017-0145)を利用しており、このエクスプロイトを利用したランサムウェアWannaCrypt/WannaCryは世界規模で被害が拡大することになった。なお、Microsoftが修正した脆弱性で、報告者としてNSAが記載されるのは今回が初めてのようだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2020年01月18日 12時11分 (#3747170)

    日本では日本時間14日にサポート終了との公式見解に固執したので、サポート終了後はセキュリティ更新プログラムが配信されなくなりますと警告したにもかかわらずサポート終了後の日本時間15日に何の説明もなくセキュリティ更新プログラムが降ってくるという意味不明な事態に。MSに聞いたところで「サポート終了したOSに関する質問には答えられません」と言われるのが関の山だし

    • セキュリティ更新プログラムが配信されなくなります

      セキュリティ更新など一切保証されません、とかにしとくべき。
      断言すると、どっちにしてもめんどくさいクレームの種。

      親コメント
    • by Anonymous Coward on 2020年01月18日 13時12分 (#3747195)

      複数の Microsoft 社製品のサポート終了に伴う注意喚起:IPA 独立行政法人 情報処理推進機構
      https://www.ipa.go.jp/security/announce/win7_eos.html [ipa.go.jp]

      2019年11月11日 Microsoft社からの情報提供を受け、サポート終了日の記載を以下の通り修正。
      「2020年1月15日(米国時間1月14日)」→「2020年1月14日(日本時間)中」

      2019年12月19日 Microsoft社からの情報提供を受け、サポート終了日の記載に以下を追記。
      「サポート期限は、日本Microsoft社によると1月14日における各サポート窓口の営業時間までとのことです。」

      結果的に最初の「2020年1月15日(米国時間1月14日)」が正しかった訳で、MS/MSKKに振り回されたIPAは怒っていいぞ

      親コメント
    • by Anonymous Coward

      サポートは終了した。
      更新プログラムは気が向いたら出す。
      何も問題ないな。

      • by Anonymous Coward

        Windows10で追加された新しい脆弱性だから。

  • by Anonymous Coward on 2020年01月18日 13時23分 (#3747201)

    なお、Microsoftが修正した脆弱性で、報告者としてNSAが記載されるのは今回が初めてのようだ。

    はたしてその記載は本物だろうか?
    はたしてそのNSAは本物だろうか?
    はたして本物は本物だろうか?

  • ひとつ質問いいかな (スコア:0, おもしろおかしい)

    by Anonymous Coward on 2020年01月18日 15時43分 (#3747250)

    どうしてNSAが証明書検証の脆弱性なんて発見できたのかな? かな?

    • by Anonymous Coward

      どうしてNSAが証明書検証の脆弱性なんて発見できたのかな? かな?

      んなこと さすがに あかせん

      # NSA! NSA! NSA!

    • by Anonymous Coward

      SHA-1、SHA-2がNSA由来みたいだし(SHA-3はNIST)
      この手に詳しい専門家がいるのは確か

    • by Anonymous Coward

      中共への旧正月のお祝い

    • by Anonymous Coward

      言うまでもないけど、NSAは多く使われているデバイスやソフトウェアの脆弱性はいつも探してるよね。
      見つけたとき、自分たちがスパイや工作に使えそうな脆弱性は公表せずに悪用する。

      自分たちに利用価値が無い脆弱性はベンダーに報告して修正させるのは、自分たちの保持している情報資産を守るためだね。

      中国や北朝鮮の政府が背後にいる悪意のハッカーグループの存在は疑惑の範疇だけど、アメリカのNSAが悪意(アメリカの立場で言えば自国の利になる善意)で脆弱性を利用しているというのは何度も発覚している事実。

typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...