PC・インターネット

今すぐWindows10をアップデートして!NSAすら警戒するヤバい脆弱性wwwww

1:名無しさん@2ろぐちゃんねる : 2020/01/17(金) 21:56:52.72 ID:HDUHQu5X9



教えてくれたのはいいけど、ほかにもいろいろバグを知ってそう。

MIT Technology Reviewによりますと、Windows(ウィンドウズ)10とWindows Server 2016に関する重大な脆弱性を米国国家安全保障局(NSA)が発表し、Microsoft(マイクロソフト)は火曜日には修正パッチをリリースしました。

Windowsの暗号化機能に深刻な脆弱性あり

プレスリリースを公開するという諜報機関にしては珍しい方法をとったNSAですが、同局によるとWindowsの暗号化機能に致命的な脆弱性があり、「ハッカーは暗号化されたネットワーク接続に介入し、通信相手になりすまして任意のコードを実行できる」とのこと。つまりHTTPS接続や、ファイルやメールなどのデジタル署名などのセキュリティ機能が破られ、「ユーザーモードとして署名されたコードが実行されてしまう」可能性があるそうです。

また、プレスリリースによると同局は「この脆弱性を非常に深刻と捉えている。鋭いハッカーであればこの問題をすぐに理解できるし、もし悪用されれば前述のプラットフォームは根本から無力化されるだろう」としています。しかし同時に、同局はまだこの脆弱性が悪用された証拠はないとしており、MIT Technology Reviewによると、Microsoftも同様に脆弱性が突かれたと思われる案件は確認していないそうです。

パッチ適用を最優先に

NSAのリリースには、ネットワーク管理者のための防護策、及び脆弱性を悪用されたかどうかの確認の仕方も載っており、何よりも「重要、または広く利用されているサービスを提供している端末にパッチを適用することを最優先」するよう呼びかけています。また、インターネットに直接繋がっている端末や、管理権を持っているユーザーが定期的に利用する端末も優先させるように推奨しています。

サイバーセキュリティに関するブロガーであるBrian Krebs氏は、Microsoftが暗号化に関わるモジュール「crypt32.dll」の修正を急いでいるとの噂を月曜日に報じていました。Krebs氏の情報源によると、脆弱性を利用することで、特定のソフトウェアのビルドに関わるデジタル署名を偽造でき、アタッカーはマルウェアの仕込まれたソフトウェアを正当なソフトウェアであるとユーザーに信じさせることができるそうです。NSAのサイバーセキュリティ部門部長のAnne Neuberger氏は、Microsoftがソフトウェアの欠陥の発見で、同局の名前を公に出したのは初めてだとリポーターたちに語ったとKreb氏は報じています。

今回のバグはかなり深刻だった

Windows 10やWindows Server 2016で動作している数百万のサーバーが支配される可能性を考えると、このバグの危険性はどれだけ強調しても足りません。データベースをアプリなどに提供するMongoDBのセキュリティ主任であり、Open Crypto Audio Projectの主任でもあるKenn White氏はWiredに対し、「私たちも現在分析していますが、事前の状態や状況次第では膨大な被害を産む可能性があった」とコメントしています。

また、元NSA職員で、サイバーセキュリティのトレーニングや分析を行うRendition Infosecの創業者、Jake Williams氏はTech Crunchに対し、この欠陥が政府の諜報に最適なものだとし、「端末のセキュリティをすべてバイパスできるスケルトンキーの役割になっただろう」と発言しました。またTech Crunchによると、NSAもMicrosoftも脆弱性に関しては、政府、軍、そして産業組織などにパッチが先に配布され、火曜日に一般公開されるまで徹底的に黙秘していたそうです。

今回の公表はNSA内部の改革ではないか?

これまでのNSAなら、発見したバグは記録し、後に諜報活動やサイバー国防に利用していたのですが、今回の公表は、NSA内部での改革の一部ではないかとMIT Technology Reviewは報じています。去年末、サイバーセキュリティと海外での諜報活動の足並みを揃え、政府や産業ネットワークをサイバー攻撃から守るため、NSAはCybersecurity Directorate(サイバーセキュリティ理事会)を設立しました。



メリーランド州、フォート・ミードにあるNSA本部

2020.01.17 21:00 全文はソース元で
https://www.gizmodo.jp/2020/01/stop_what_you_are_doing_and_update_windows_right_now.html


 




元スレ
http://asahi.5ch.net/test/read.cgi/newsplus/1579265812/

16:名無しさん@2ろぐちゃんねる : 2020/01/17(金) 22:02:10.96 ID:qndY5iWg0



>>1
NSAってところが信用できないなぁ
修正パッチのふりをして世界中のWinパソにバックドア仕込もうってんじゃないの?




62:名無しさん@2ろぐちゃんねる : 2020/01/17(金) 22:18:10.51 ID:sQ96ltEh0



>>16
NSAが修正パッチだす訳じゃないだろ。




25:名無しさん@2ろぐちゃんねる : 2020/01/17(金) 22:04:45.62 ID:IeqgsJN90



>>1
危険な物を売るな




2:名無しさん@2ろぐちゃんねる : 2020/01/17(金) 21:57:46.06 ID:TjnxJcr+0



windows10から監視されるからな




7:名無しさん@2ろぐちゃんねる : 2020/01/17(金) 21:59:28.77 ID:cWpswOaK0



そういう致命的な脆弱性が構造上存在できないプラットフォームを開発できないの?




69:名無しさん@2ろぐちゃんねる : 2020/01/17(金) 22:21:05.81 ID:MIyHaM1Z0



>>7
人が作ってる以上、穴はできちゃうんだな




9:名無しさん@2ろぐちゃんねる : 2020/01/17(金) 22:00:04.70 ID:zmGGAPbT0



OpenSSL使えば解決




10:名無しさん@2ろぐちゃんねる : 2020/01/17(金) 22:00:25.73 ID:cJmZADNw0



結局、枯れたOSの方が頑丈なんだよ。
わかったか取引先のど素人ども。
せっかくの成人の日の連休を奪いやがって。




11:名無しさん@2ろぐちゃんねる : 2020/01/17(金) 22:00:50.19 ID:355Hqm+/0



とっくにアプデしたけどすぐに終わったが?
そんな重大か?




12:名無しさん@2ろぐちゃんねる : 2020/01/17(金) 22:00:53.15 ID:dsqmLH5r0



アップデートしたらPCが起動しなくなったりしない?




19:名無しさん@2ろぐちゃんねる : 2020/01/17(金) 22:03:17.28 ID:A58b4cT40



>>12
低スペックなら当然するよ。
結局買い替えになるから無駄なことせず買い替えのほうがいいよ。




23:名無しさん@2ろぐちゃんねる : 2020/01/17(金) 22:04:19.20 ID:0zwOW8lE0



>>12
今までのアプデでそんな事は無かったが、今回初めてやられた。結局初期化した。
Windowsは3.1から使っているが初めてだわ。




82:名無しさん@2ろぐちゃんねる : 2020/01/17(金) 22:25:08.39 ID:ONnYHiEQ0



>>12
8を10にしたら24時間以内にパソコン壊れた




17:名無しさん@2ろぐちゃんねる : 2020/01/17(金) 22:02:35.17 ID:unx+aUz+0



パッチって、通常の「更新プログラムのチェック」で適用されるものなの?




18:名無しさん@2ろぐちゃんねる : 2020/01/17(金) 22:03:16.99 ID:3WjKo1P20



>>17
チェックしただけで適用されるとは恐ろしいな




20:名無しさん@2ろぐちゃんねる : 2020/01/17(金) 22:03:21.59 ID:cjhg+guE0



Windows 7の俺は高みの見物




55:名無しさん@2ろぐちゃんねる : 2020/01/17(金) 22:13:38.11 ID:251g95MJ0



>>20
同じく




24:名無しさん@2ろぐちゃんねる : 2020/01/17(金) 22:04:35.62 ID:xf6Bv0eu0



未だにXP使ってるワシは化石だな




26:名無しさん@2ろぐちゃんねる : 2020/01/17(金) 22:04:48.76 ID:5bctesHH0



windows7にサヨナラしたばかりでこんなニュースは嫌だわ




27:名無しさん@2ろぐちゃんねる : 2020/01/17(金) 22:05:20.43 ID:RwlvlokT0



だったら、Windows7で統一しろよw
まあ、MS Linuxでも良いがw




31:名無しさん@2ろぐちゃんねる : 2020/01/17(金) 22:06:20.38 ID:+VNJBz6W0

コメント

メールアドレスが公開されることはありません。