速報
Microsoft、NSAが報告した危険度1の脆弱性修正を含む月例セキュリティ更新プログラムを公開
Microsoftが1月の月例セキュリティ更新プログラムを公開した。米国家安全保障局(NSA)が報告した暗号化を悪用する危険度1の脆弱性修正を含む。
米Microsoftは1月14日(現地時間)、月例セキュリティ更新プログラムを公開した。米国家安全保障局(NSA)から警告を受けた危険度1(上から2番目)の複数のWindowsバージョンに影響する脆弱性「CVE-2020-0601」を含む多数の問題を修正するものだ。
この脆弱性は、Windows CryptoAPI(Crypt32.dll)がECC証明書を検証する方法に存在する。攻撃者がこの脆弱性を悪用すると、偽の証明書を使って信頼できるプロバイダーになりすまし、ユーザーの機密情報にアクセスする可能性がある。MicrosoftはWindows 10、Windows Server 2016および2019向けのアップデートを提供した。同社は報告者への謝辞にNSAと明示した。
NSAがいつMicrosoftに警告したかは不明だが、米セキュリティ企業Krebs on Securityによると、Microsoftは米軍を含む主要インターネットインフラ管理者には既に更新プログラムを提供済みという。NSAはMicrosoftからの一般向け更新プログラム公開を待ち、セキュリティアドバイザリーで注意喚起した。
NSAはかつて、Windowsの脆弱性を利用するサイバー兵器を開発し、それが流出して問題になった。
この他の更新については、リリースノートを参照されたい。
関連記事
- Windows 7、きょうサポート終了 いまだに1400万台のPCが稼働中
米Microsoftは1月14日、「Windows 7」のサポートを終了する。同社はWindows 10への移行を勧めているが、日本国内ではいまだに約1400万台のWindows 7搭載PCが稼働していると推測されるという。 - 因縁のNSAが警告を出した脆弱性「BlueKeep」、WannaCryの再来は阻止できるか
Microsoft、NSAがBlueKeepに警告を発している。その異例な対応の根幹にあるものとは? - WannaCryは序章? NSAツールを悪用したマルウェアが相次ぎ出現
ネットワークワームの「EternalRocks」は、NSAのツールを長期的に悪用し、感染マシンを攻撃の発射台として利用する意図をもつ。 - ハッカー集団が流出させた「サイバー兵器」、米政府機関の関与を確認
ハッカー集団「Equation Group」が流出させたハッキングツールの中に、正真正銘のNSAのソフトウェアが含まれていることを確認したとThe Interceptが伝えた。
関連リンク
- 2020年1月のセキュリティ更新プログラム(Microsoft)
- January 2020 Security Updates: CVE-2020-0601(Microsoft)
- CVE-2020-0601|Windows CryptoAPI のなりすましの脆弱性(Microsoft)
- Cryptic Rumblings Ahead of First 2020 Patch Tuesday(Krebs on Security)
- A Very Important Patch Tuesday(NSA)
- Patch Critical Cryptographic Vulnerability in Microsoft Windows Clients and Servers(NSA)
Copyright © ITmedia, Inc. All Rights Reserved.