Windowsに証明書偽装の脆弱性、セキュリティ機関が一斉アラート

問題の脆弱性を悪用すれば正規のroot証明書に見せかけた不正な証明書を偽造できる恐れがあり、メールや実行可能コードの署名、HTTPS接続などの安全対策が脅かされかねない。

LINE

Hatena

　Microsoftは2020年1月14日（日本時間15日）、Windowsや「Internet Explorer」（IE）などの脆弱（ぜいじゃく）性を修正する月例セキュリティ更新プログラムを公開した。中でもWindowsの暗号機能にかかわる「CryptoAPI」（Crypt32.dll）の脆弱性（CVE-2020-0601）については米国のセキュリティ機関NSAやCISAが「極めて重大な脆弱性」と位置付けて一斉に緊急アラートを出し、直ちに更新プログラムを適用するよう呼び掛けている。

出典：Microsoft

　CISAやCERT/CCのセキュリティ情報によると、CryptoAPIの脆弱性は「Elliptic Curve Cryptography」（ECC）を使った証明書が適切に検証できないことに起因する。

サポート終了OSへの対応は？

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

Windowsに証明書偽装の脆弱性、セキュリティ機関が一斉アラート

サポート終了OSへの対応は？

関連リンク