【技術】今すぐWindows 10をアップデートして! NSAすら警戒するヤバい脆弱性
■ このスレッドは過去ログ倉庫に格納されています
教えてくれたのはいいけど、ほかにもいろいろバグを知ってそう。
MIT Technology Reviewによりますと、Windows(ウィンドウズ)10とWindows Server 2016に関する重大な脆弱性を米国国家安全保障局(NSA)が発表し、Microsoft(マイクロソフト)は火曜日には修正パッチをリリースしました。
Windowsの暗号化機能に深刻な脆弱性あり
プレスリリースを公開するという諜報機関にしては珍しい方法をとったNSAですが、同局によるとWindowsの暗号化機能に致命的な脆弱性があり、「ハッカーは暗号化されたネットワーク接続に介入し、通信相手になりすまして任意のコードを実行できる」とのこと。つまりHTTPS接続や、ファイルやメールなどのデジタル署名などのセキュリティ機能が破られ、「ユーザーモードとして署名されたコードが実行されてしまう」可能性があるそうです。
また、プレスリリースによると同局は「この脆弱性を非常に深刻と捉えている。鋭いハッカーであればこの問題をすぐに理解できるし、もし悪用されれば前述のプラットフォームは根本から無力化されるだろう」としています。しかし同時に、同局はまだこの脆弱性が悪用された証拠はないとしており、MIT Technology Reviewによると、Microsoftも同様に脆弱性が突かれたと思われる案件は確認していないそうです。
パッチ適用を最優先に
NSAのリリースには、ネットワーク管理者のための防護策、及び脆弱性を悪用されたかどうかの確認の仕方も載っており、何よりも「重要、または広く利用されているサービスを提供している端末にパッチを適用することを最優先」するよう呼びかけています。また、インターネットに直接繋がっている端末や、管理権を持っているユーザーが定期的に利用する端末も優先させるように推奨しています。
サイバーセキュリティに関するブロガーであるBrian Krebs氏は、Microsoftが暗号化に関わるモジュール「crypt32.dll」の修正を急いでいるとの噂を月曜日に報じていました。Krebs氏の情報源によると、脆弱性を利用することで、特定のソフトウェアのビルドに関わるデジタル署名を偽造でき、アタッカーはマルウェアの仕込まれたソフトウェアを正当なソフトウェアであるとユーザーに信じさせることができるそうです。NSAのサイバーセキュリティ部門部長のAnne Neuberger氏は、Microsoftがソフトウェアの欠陥の発見で、同局の名前を公に出したのは初めてだとリポーターたちに語ったとKreb氏は報じています。
今回のバグはかなり深刻だった
Windows 10やWindows Server 2016で動作している数百万のサーバーが支配される可能性を考えると、このバグの危険性はどれだけ強調しても足りません。データベースをアプリなどに提供するMongoDBのセキュリティ主任であり、Open Crypto Audio Projectの主任でもあるKenn White氏はWiredに対し、「私たちも現在分析していますが、事前の状態や状況次第では膨大な被害を産む可能性があった」とコメントしています。
また、元NSA職員で、サイバーセキュリティのトレーニングや分析を行うRendition Infosecの創業者、Jake Williams氏はTech Crunchに対し、この欠陥が政府の諜報に最適なものだとし、「端末のセキュリティをすべてバイパスできるスケルトンキーの役割になっただろう」と発言しました。またTech Crunchによると、NSAもMicrosoftも脆弱性に関しては、政府、軍、そして産業組織などにパッチが先に配布され、火曜日に一般公開されるまで徹底的に黙秘していたそうです。
今回の公表はNSA内部の改革ではないか?
これまでのNSAなら、発見したバグは記録し、後に諜報活動やサイバー国防に利用していたのですが、今回の公表は、NSA内部での改革の一部ではないかとMIT Technology Reviewは報じています。去年末、サイバーセキュリティと海外での諜報活動の足並みを揃え、政府や産業ネットワークをサイバー攻撃から守るため、NSAはCybersecurity Directorate(サイバーセキュリティ理事会)を設立しました。
https://assets.media-platform.com/gizmodo/dist/images/2020/01/15/200115_nsa_windows10_01-w1280.jpg
メリーランド州、フォート・ミードにあるNSA本部
2020.01.17 21:00 全文はソース元で
https://www.gizmodo.jp/2020/01/stop_what_you_are_doing_and_update_windows_right_now.html そういう致命的な脆弱性が構造上存在できないプラットフォームを開発できないの? 結局、枯れたOSの方が頑丈なんだよ。
わかったか取引先のど素人ども。
せっかくの成人の日の連休を奪いやがって。 とっくにアプデしたけどすぐに終わったが?
そんな重大か? アップデートしたらPCが起動しなくなったりしない? NSAってロズウェルのUFOの技術を使ってタイムマシンを作ったところだろ? 見られて困るようなデータはないし、踏み台になっても困るのはよそのやつだし別にいい
このまま行けるところまでwindows7で行くわ >>1
NSAってところが信用できないなぁ
修正パッチのふりをして世界中のWinパソにバックドア仕込もうってんじゃないの? パッチって、通常の「更新プログラムのチェック」で適用されるものなの? >>17
チェックしただけで適用されるとは恐ろしいな >>12
低スペックなら当然するよ。
結局買い替えになるから無駄なことせず買い替えのほうがいいよ。 >>12
今までのアプデでそんな事は無かったが、今回初めてやられた。結局初期化した。
Windowsは3.1から使っているが初めてだわ。 windows7にサヨナラしたばかりでこんなニュースは嫌だわ だったら、Windows7で統一しろよw
まあ、MS Linuxでも良いがw 通信の相手になったからといって任意コードを実行できるなら暗号化の脆弱性じゃねーじゃん。
記者は馬鹿なのか。 最後のアップデートしたしゆっくり切り替えしようってところにこのニュースw パッチ適用したら動かなくなるというおまけ付きを何度やったよ
ウィルス配布してんじゃねぇ!! >1
おとといからwin10のノートパソコンが急に軽くなったんだがやっぱりいろいろやられてたのか
9月に一度軽くなったがまたモッサリするようになった
2018年秋から使い始めた時はクッソ重くて使い物にならないものだった 正直Windowsの脆弱性よりも、スマホのOSの脆弱性の方が気になる
世界中の人達に一人一台レベルで普及してるのに、脆弱性のニュースの定番はいつもWindows NSA「自社製の諜報監視プログラムが上手く走らない!はやくアップデートしないと...」 >>46
Appleの脆弱性は多いのにニュースにならないよな。 NSAは
風呂屋の番頭
裸を見てるけど合法
エッチな気持ちで見ているMSS(中華人民共和国国家安全部)とは違う NSA謹製バックドアをはよ入れろと言われてる気がしてならないw クロエ「誰がマイクロソフトに教えたのよ。しばらく脆弱性を利用したかったのに」
エドガー「ごめんクロエ僕だよ」
クロエ「あなたってホントお人好し。でもそういう所嫌いじゃないけど」 オレのPuppyLinuxはどうやってアップデートすればいいのか あなたのパソコンはスコアが低すぎてインストールできません
なんたらかんたら 未だにIntelCPUを使っている俺はきっとNSAから見たらこんな状態だなw
↓
(´∀`(⊃*⊂) 7
使ってるとヤバイよ〜
って
間接的に脅されてる気になってくるな
10ですら危険に晒されているのに
まだ7を使ってるなんて〜
って >>60
新しいバージョンのISOをダウンロードして新規インストール。古いやつは捨てる Win7「んあ?ウィルス?この前予防接種受けて来たから大丈夫だべさ」 どんなにウィンドウズ10から強制的な勧誘が来ても、8.1から替えなかったからよかった
連日マイクロソフトさんから今日するそれとも夜する?とお誘いがひどかった NSAは昔からmicrosoftに職員を送り込んで沢山の脆弱性を仕込んでいるからね Microsoftの天下はまだありますか?
Googleが地位を狙ってるとか 脆弱性の実害なんて滅多に起こらないから気にするなw 今でも最新情報は、ペンタゴンに集中してるのかなぁ。 10へのアップデートきってるからどうでもよい
スタンドアロンなら問題なし >>46
スマホOSは初期設定のままだとストアからしかアプリインストール出来ないからな。
ウイルス仕掛けられるにしても侵入経路が限られる >>12
8を10にしたら24時間以内にパソコン壊れた BSAならむしろバグを逆手にとって
何かやらかしそうなのに
なぜ公表した >>1
Windowsってなに
Microsoftは窓しか作れないの? そして1〜2ヶ月後、企業から個人情報流出事件が起きて職場PCがwin7だったとかありそう 此奴のお陰で仕事先から引っ張り戻されて職場のパソコン全部メンテする羽目になったんだが。 一応言っておくがこういう重大な脆弱性は何度も何度も永遠に続くからな
マイクソに一度取り憑かれたら死ぬまで苦労することになるからな >>88
というかゲーデルの不完全性定理が根拠でどんなプログラムされたシステムもバグがない証明なんてできないよ。
MSに限らず。 NSAに言われたらwin10になんか仕込まれてるようにしか聞こえんだろ 10にしなくて良かったわ。今年いっぱいは7使い続けますね >>90
マイクソだけは特別酷えからな
ロクにテストしてねえで出してんだろ アメリカのIT産業は中国人やインド人、ロシア人等の共産圏の人間だらけ
もちろんいろんな脆弱性を仕込んでいる
脆弱性は頭の悪い人間が仕込んでもすぐにバレる 結局、windowsは多くの人が使っているためハッカーの
ターゲットになりやすい。こんなOSは使いたくはないが
ほかに選択肢がない。
なんとかならんかねー。
Linuxには証券会社が対応していないんだよな。 ■ このスレッドは過去ログ倉庫に格納されています