ニュース
Windowsの未解決の脆弱性、次回月例更新プログラムで対処の見通し 危険度評価は引き下げ
CERT/CCは当初、任意のコードを実行できる可能性も指摘していたが、この部分を削除して危険度評価を引き下げた。
MicrosoftのWindows 10などに影響する未解決の脆弱性が見つかった問題で、米セキュリティ機関CERT/CCは2月3日、脆弱性情報を改訂して危険度評価を引き下げた。Microsoftは2月の月例セキュリティ更新プログラムでこの問題に対処する見通しだ。
脆弱性はSMBトラフィックを処理する際のメモリ破損問題に起因する。悪用された場合、サービス妨害(DoS)状態を誘発される恐れがある。コンセプト実証コードもGithubで公開され、Windowsがクラッシュする現象が確認されていた。
CERT/CCは2月2日にセキュリティ情報を公開した時点で、Windowsカーネル権限で任意のコードを実行できる可能性も指摘していたが、3日の改訂ではこの部分が削除された。危険度評価は当初、共通脆弱性評価システム(CVSS)で最大値の10.0としていたが、改訂後は7.8に引き下げている。
Kasperskyのセキュリティニュースサイト「threatpost」によると、Microsoftはこの脆弱性の深刻度は低いと判断しているといい、「低リスクの問題については、月例アップデートで対処している」とコメントした。次回の月例更新プログラムは米国時間の2月14日(日本時間15日)に公開される見通し。
関連記事
- Windowsに未解決の脆弱性、クラッシュ誘発の恐れ
コンセプト実証コードも公開されており、不正なSMBサーバにクライアントが接続すると、Windowsがクラッシュしてブルースクリーン状態に陥るという。 - Microsoftの月例セキュリティ情報は4件のみ、うち1件が「緊急」
Flash Playerの更新プログラムが「緊急」、OfficeおよびEdge、LSASSの更新プログラムは「重要」に指定している。 - Windows 10 Creators Updateで追加されるセキュリティ機能たち
2017年に入ってもWindows 10の進化は止まることを知らない。次期アップデートのWindows 10 Creators Updateでは3Dなどグラフィック関連が注目を集めるが、今回は企業ユーザー向けの機能に注目してみたい。 - Windows 10の最初のリリースがサポート終了、複雑すぎるサポートポリシーの中身
Windows 10の最初のリリース対するサポートが3月26日で終了する。Windows 10では「Windows as a Service」というコンセプトが導入されているが、これに基づくサポートの変化について確認しておこう。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.