恐怖のパッチの日。
本日、春に騒がれたHeartbleed並みにおっかない脆弱性がWindowsの幅広い範囲で見つかり、深刻度「緊急」の修正パッチがリリースです。
まだこの脆弱性を悪用した事例の報告はマイクロソフトには上がってないようですが、「特別に細工されたパケットの不適切な処理により、セキュア チャネル (Schannel)セキュリティパッケージにリモートでコードが実行される脆弱性が存在します」と公式サイトには書かれています。
つまり攻撃者がパケットに特別な細工を施してサーバーを攻撃すると、アカウント認証抜きでリモートで任意のコードが実行されるっぽいのです。穴の在り処が、Windowの暗号化と認証を管理するレイヤーの「セキュアチャネル(Schannel)」のライブラリ内というところも深刻みたい。
影響を受けるOSは結構多くて、今サポートされてるOS全部(Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows 8/8.1、Windows Server 2012/2012 R2、Windows RT/RT 8.1)です。
パッチはWindows Updateで入れるか、マイクロソフトのこちらのサポートページから自分のOSの名前をクリックしてダウンロードしておきましょうね。マイクロソフトによるとこれが悪用を避ける唯一の方法らしいので。善は急げ。
source: Microsoft via The Next Web
Ashley Feinberg - Gizmodo US[原文]
(satomi)