2020年の最初のパッチ火曜日はもうすぐです。Microsoftは今年をうまく始めていないようです。
非常に静かな後 2019年12月パッチ火曜日 新しい更新プログラムは、ほとんどまたはまったく変更を加えることなく、すべてのバージョンのWindowsに見られるコア暗号化コンポーネントに関連する非常に重要なセキュリティの脆弱性に対処するように設定されています。
マイクロソフトは火曜日のパッチの前にセキュリティパッチをリリースしました
コンポーネントは呼ばれます Crypt32.dll CryptoAPIのほとんどの証明書および暗号化メッセージング機能の実装を担当します。
Crypt32.dllは、WindowsおよびWindows Serverオペレーティングシステムに付属するモジュールですが、このDLLのバージョンが異なれば、提供される機能も異なります。
これは少し技術的に聞こえるかもしれませんが、知っておく必要がある最も重要なことは、CryptoAPIは、開発者が暗号化を通じてWindowsアプリにセキュリティを追加するのに役立つということです。 ザ・ 暗号化 データの復号化は、デジタル証明書を使用して行われます。
このセキュリティ違反をさらに確認するために、ビッグMは、火曜日の1月14日のパッチの前にそれを修正するパッチをリリースしたと思われます。 これは、重要な顧客、インターネットインフラストラクチャを使用する企業、および米軍の支部に送信されました。
もちろん、マイクロソフトは、秘密保持契約を通じて1月14日までに問題を開示できないことを確認しました。 として 応答 KrebsonSecurityに対して、同社は次のように述べています。
私たちを通して セキュリティ更新プログラム(SUVP)、ラボ環境での検証と相互運用性テストを目的として、アップデートのアドバンスバージョンをリリースします。 このプログラムの参加者は、この目的以外のシステムに修正を適用することを契約上禁止されており、本番インフラストラクチャに適用することはできません。
米軍やその他の優先度の高いターゲットがMicrosoftのリストの最初に並んでいたことを考えると、セキュリティリスクだけでなくその影響も非常に大きいです。
この脆弱性は私のWindowsPCに影響を及ぼしますか?
脆弱性をある程度確認している、ウィル・ドーマン、 CERT / CCの脆弱性アナリストは、非常に興味深い情報を共有しました つぶやき:
明日のMicrosoftPatchTuesdayアップデートをタイムリーにインストールすることに人々はおそらく非常に細心の注意を払うべきだという印象を受けます。 他の人よりもさらにそうです。
わからない…ただそれを予感と呼ぶのか?
¯_(ツ)_/¯—ウィル・ドーマン(@wdormann) 2020年1月13日
直接の影響について疑問に思っている場合は、セキュリティの欠陥が基本的なWindows機能、からの個人データに影響を与える可能性があることを知ってください インターネットエクスプローラ/ Edge、認証とログインセキュリティ、およびその他のサードパーティアプリ。
これは非常に懸念されます。 マルウェア攻撃 個人データの損失。
注意として、WindowsXPおよびWindowsVistaまたは7を含むすべてのWindowsバージョンが影響を受けます。 したがって、火曜日の非常にでこぼこのパッチの準備をし、WindowsReportの1月14日のパッチ火曜日の記事に注目して、新しい開発を見つけてください。
