Microsoft、NSAが報告した危険度1の脆弱性修正を含む月例セキュリティ更新プログラムを公開 - ITmedia

　米Microsoftは1月14日（現地時間）、月例セキュリティ更新プログラムを公開した。米国家安全保障局（NSA）から警告を受けた危険度1（上から2番目）の複数のWindowsバージョンに影響する脆弱性「CVE-2020-0601」を含む多数の問題を修正するものだ。

NSAへの謝辞

　この脆弱性は、Windows CryptoAPI（Crypt32.dll）がECC証明書を検証する方法に存在する。攻撃者がこの脆弱性を悪用すると、偽の証明書を使って信頼できるプロバイダーになりすまし、ユーザーの機密情報にアクセスする可能性がある。MicrosoftはWindows 10、Windows Server 2016および2019向けのアップデートを提供した。同社は報告者への謝辞にNSAと明示した。

　NSAがいつMicrosoftに警告したかは不明だが、米セキュリティ企業Krebs on Securityによると、Microsoftは米軍を含む主要インターネットインフラ管理者には既に更新プログラムを提供済みという。NSAはMicrosoftからの一般向け更新プログラム公開を待ち、セキュリティアドバイザリーで注意喚起した。

　NSAはかつて、Windowsの脆弱性を利用するサイバー兵器を開発し、それが流出して問題になった。

　この他の更新については、リリースノートを参照されたい。