ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/articles/1610/07/news095.html
> Windows 7までにDoS誘発の脆弱性、MSの推奨対策はアップグレード - ITmedia エンタープライズ

Cryptography API: Next Generation（CNG）に脆弱性。

細工された鍵データを処理すると、API を呼び出したソフトウェアが異常終了する模様。

DoS 攻撃が可能。

ちょっと過去の KB を当たってみますと。

EFS とか S/MIME とか TLS とかで普通に使われている API みたいですね。

S/MIME や TLS なら、メールソフトやブラウザーが落ちるだけですが。

EFS 用途の細工された鍵データを渡されると、Windows Explorer が落ちる、と云う事ですか。

(関連)

一般社団法人 JPCERT コーディネーションセンター http://jvn.jp/jp/JVN20786316/index.html
> JVN#20786316: Cryptography API: Next Generation (CNG) におけるサービス運用妨害 (DoS) の脆弱性

※ "Windows 8.1 以降にアップグレードしてください。" とのこと。

一般社団法人 JPCERT コーディネーションセンター http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-000195.html
> JVNDB-2016-000195 - JVN iPedia - 脆弱性対策情報データベース

一般社団法人 JPCERT コーディネーションセンター http://jvndb.jvn.jp/ja/cwe/CWE-119.html
> CWE-119
> Weakness ID:119(Weakness Class)
> Status: Draft
> バッファエラー

・・・

マイクロソフト https://support.microsoft.com/ja-jp/kb/2973337
> TLS 1.2 を使用すると Windows で SHA512 が無効になる

※ "Cng.sys 6.1.7601.17919 369,848 4-7 月 7-13 12:16 x86"

Microsoft https://support.microsoft.com/en-us/kb/3044974
> ADFS 2.0 certificate error:
> An error occurred during an attempt to build the certificate chain

※ "Make sure that the certificates are not using a Cryptographic Next Generation (CNG) private key " 。

※ ADFS は "Active Directory Federation Services" のことらしいです。

Microsoft https://support.microsoft.com/en-us/kb/2507840
> Keys in the CNG user interface are always described
> as having no description in Windows 7 or in Windows Server 2008 R2

Microsoft https://support.microsoft.com/en-us/kb/2894375
> Private key description cannot be retrieved
> through CNG API in Windows 7 SP 1 or Windows Server 2008 R2 SP1

いじょうです。

• • -