| タイトル | Cryptography API: Next Generation (CNG) におけるサービス運用妨害 (DoS) の脆弱性 |
|---|---|
| 概要 | Cryptography API: Next Generation (CNG) には、BCryptDecrypt の処理に起因するサービス運用妨害 (DoS) の脆弱性が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: NEC 芦野 佑樹 氏 |
| 想定される影響 | 細工された鍵データを Cryptography API: Next Generation (CNG) で処理することで、当該製品を異常終了させられる可能性があります。 |
| 対策 | [アップグレードする] 開発者によると、Windows 8 以降に含まれる Cryptography API: Next Generation (CNG) は本脆弱性の影響を受けないとのことです。 OS を Windows 8.1 以降にアップグレードしてください。 なお、開発者は次のように述べています: この問題が悪用された場合の影響は限定的であり、最大でもローカル コンピューター上からの DoSに悪用される可能性があるとの判断です。そして、現状では、リモートからの悪用やコードの実行等は困難であると判断しております。 なおWindows 8 以降に含まれる Cryptography API: Next Generation (CNG) は本脆弱性の影響を受けません。OS を サポート対象の Windows 8.1 以降にアップグレードすることを推奨します。 |
| 公表日 | 2016年10月7日0:00 |
| 登録日 | 2016年10月7日12:02 |
| 最終更新日 | 2016年10月7日12:02 |
| CVSS3.0 : 低 | |
| スコア | 3.3 |
|---|---|
| ベクター | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L |
| CVSS2.0 : 警告 | |
| スコア | 4.3 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:N/I:N/A:P |
| マイクロソフト |
| Microsoft Windows 7 以前の Windows に含まれる Cryptography API: Next Generation (CNG) |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2016年10月07日] 掲載 |
2018年2月17日10:37 |