ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/articles/1610/07/news095.html
> Windows 7までにDoS誘発の脆弱性、MSの推奨対策はアップグレード - ITmedia エンタープライズ
Cryptography API: Next Generation(CNG)に脆弱性。
細工された鍵データを処理すると、API を呼び出したソフトウェアが異常終了する模様。
DoS 攻撃が可能。
ちょっと過去の KB を当たってみますと。
EFS とか S/MIME とか TLS とかで普通に使われている API みたいですね。
S/MIME や TLS なら、メールソフトやブラウザーが落ちるだけですが。
EFS 用途の細工された鍵データを渡されると、Windows Explorer が落ちる、と云う事ですか。
(関連)
一般社団法人 JPCERT コーディネーションセンター http://jvn.jp/jp/JVN20786316/index.html
> JVN#20786316: Cryptography API: Next Generation (CNG) におけるサービス運用妨害 (DoS) の脆弱性
※ "Windows 8.1 以降にアップグレードしてください。" とのこと。
一般社団法人 JPCERT コーディネーションセンター http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-000195.html
> JVNDB-2016-000195 - JVN iPedia - 脆弱性対策情報データベース
一般社団法人 JPCERT コーディネーションセンター http://jvndb.jvn.jp/ja/cwe/CWE-119.html
> CWE-119
> Weakness ID:119(Weakness Class)
> Status: Draft
> バッファエラー
・・・
マイクロソフト https://support.microsoft.com/ja-jp/kb/2973337
> TLS 1.2 を使用すると Windows で SHA512 が無効になる
※ "Cng.sys 6.1.7601.17919 369,848 4-7 月 7-13 12:16 x86"
Microsoft https://support.microsoft.com/en-us/kb/3044974
> ADFS 2.0 certificate error:
> An error occurred during an attempt to build the certificate chain
※ "Make sure that the certificates are not using a Cryptographic Next Generation (CNG) private key " 。
※ ADFS は "Active Directory Federation Services" のことらしいです。
Microsoft https://support.microsoft.com/en-us/kb/2507840
> Keys in the CNG user interface are always described
> as having no description in Windows 7 or in Windows Server 2008 R2
Microsoft https://support.microsoft.com/en-us/kb/2894375
> Private key description cannot be retrieved
> through CNG API in Windows 7 SP 1 or Windows Server 2008 R2 SP1
いじょうです。
-
- -