ITmedia NEWS > STUDIO >
速報
» 2020年01月15日 07時31分 公開

Microsoft、NSAが報告した危険度1の脆弱性修正を含む月例セキュリティ更新プログラムを公開

Microsoftが1月の月例セキュリティ更新プログラムを公開した。米国家安全保障局(NSA)が報告した暗号化を悪用する危険度1の脆弱性修正を含む。

[ITmedia]

 米Microsoftは1月14日(現地時間)、月例セキュリティ更新プログラムを公開した。米国家安全保障局(NSA)から警告を受けた危険度1(上から2番目)の複数のWindowsバージョンに影響する脆弱性「CVE-2020-0601」を含む多数の問題を修正するものだ。

 nsa 1
 nsa 2 NSAへの謝辞

 この脆弱性は、Windows CryptoAPI(Crypt32.dll)がECC証明書を検証する方法に存在する。攻撃者がこの脆弱性を悪用すると、偽の証明書を使って信頼できるプロバイダーになりすまし、ユーザーの機密情報にアクセスする可能性がある。MicrosoftはWindows 10、Windows Server 2016および2019向けのアップデートを提供した。同社は報告者への謝辞にNSAと明示した。

 NSAがいつMicrosoftに警告したかは不明だが、米セキュリティ企業Krebs on Securityによると、Microsoftは米軍を含む主要インターネットインフラ管理者には既に更新プログラムを提供済みという。NSAはMicrosoftからの一般向け更新プログラム公開を待ち、セキュリティアドバイザリーで注意喚起した。

 NSAはかつて、Windowsの脆弱性を利用するサイバー兵器を開発し、それが流出して問題になった

 この他の更新については、リリースノートを参照されたい。

Copyright © ITmedia, Inc. All Rights Reserved.