| Title | Cryptography API: Next Generation (CNG) におけるサービス運用妨害 (DoS) の脆弱性 |
|---|---|
| Summary | Cryptography API: Next Generation (CNG) には、BCryptDecrypt の処理に起因するサービス運用妨害 (DoS) の脆弱性が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: NEC 芦野 佑樹 氏 |
| Possible impacts | 細工された鍵データを Cryptography API: Next Generation (CNG) で処理することで、当該製品を異常終了させられる可能性があります。 |
| Solution | [アップグレードする] 開発者によると、Windows 8 以降に含まれる Cryptography API: Next Generation (CNG) は本脆弱性の影響を受けないとのことです。 OS を Windows 8.1 以降にアップグレードしてください。 なお、開発者は次のように述べています: この問題が悪用された場合の影響は限定的であり、最大でもローカル コンピューター上からの DoSに悪用される可能性があるとの判断です。そして、現状では、リモートからの悪用やコードの実行等は困難であると判断しております。 なおWindows 8 以降に含まれる Cryptography API: Next Generation (CNG) は本脆弱性の影響を受けません。OS を サポート対象の Windows 8.1 以降にアップグレードすることを推奨します。 |
| Publication Date | Oct. 7, 2016, midnight |
| Registration Date | Oct. 7, 2016, 12:02 p.m. |
| Last Update | Oct. 7, 2016, 12:02 p.m. |
| CVSS3.0 : 低 | |
| Score | 3.3 |
|---|---|
| Vector | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L |
| CVSS2.0 : 警告 | |
| Score | 4.3 |
|---|---|
| Vector | AV:N/AC:M/Au:N/C:N/I:N/A:P |
| マイクロソフト |
| Microsoft Windows 7 以前の Windows に含まれる Cryptography API: Next Generation (CNG) |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2016年10月07日] 掲載 |
Feb. 17, 2018, 10:37 a.m. |