マイクロソフトは昨日、 セキュリティ速報MS14-066を公開しました 。これは、攻撃者がリモートで任意のコードを実行できるようにするMicrosoftのSSL / TLS実装であるSChannelの重大なバグについて説明しています。 この脆弱性に対応する更新プログラムは、Windows Updateを介して既に入手可能です。
Windows RTを含む、2003年以降のすべてのバージョンのWindowsがサポートされています。 これは、脆弱性がサーバー側だけでなく、クライアント側にも存在することを示唆しています。
影響を受けるWindowsバージョン:
- Windows Server 2003 Service Pack 2
- Windows Vista Service Pack 2
- Windows Server 2008 Service Pack 2
- Windows 7 Service Pack 1
- Windows Server 2008 R2
- Windows 8
- Windows 8.1
- Windows Server 2012
- Windows Server 2012 R2
- Windows RT
- Windows RT 8.1
technetブログからの情報に基づいて、この脆弱性は製品のセキュリティテスト中にマイクロソフト内部で発見されたため、この脆弱性が以前に悪用されたことはないと想定できます。 Ciscoブログは、このCVEが一度にいくつかのバグをカバーしていることを示しています:バッファオーバーフローから証明書検証のバイパスまで。
とりわけ、この更新プログラムはAES-GCMを使用した新しい暗号化方式(暗号スイート)を追加します。
できるだけ早く更新する必要があります。