「Badlock」脆弱性の詳細が公開、誇大広告として批判される
2016年4月16日 22:54
WindowsおよびSambaの脆弱性「Badlock」の詳細が12日に公開され、パッチの提供も始まった。しかし、事前の告知に反して深刻度の低いものだったため、誇大広告として批判されている(The Registerの記事、InfoWorldの記事、Ars Technicaの記事、Softpediaの記事)。 Badlockはセキュリティアカウントマネージャー(SAM)およびローカルセキュリティ機関(ドメインポリシー)(LSAD)リモートプロトコル(SambaではSAMRおよびLSA)の脆弱性。WindowsではCVE-2016-0128、SambaではCVE-2016-2118が割り当てられている(Microsoftのセキュリティ情報: MS16-047 / KB3148527、Sambaのセキュリティ情報、Sambaのセキュリティリリース ダウンロードページ)。 攻撃者はこの脆弱性を利用した中間者攻撃によりSAMデータベースへのアクセスが可能になる。ただし、SMBプロトコル自体の脆弱性ではなく、CVSS v3スコアは5.9(深刻度: 中)、Microsoftの深刻度評価でも2番目の「重要」となっている。それでも脆弱性には違いないので、なるべく早く更新を実行するようにしよう。 Badlockは非常に重大な脆弱性としてシステム管理者へのパッチ適用準備が呼びかけられ、特設サイトまで用意した異例の事前告知はキャッチーな名前やロゴで注目を集めていた。 スラドのコメントを読む | セキュリティセクション | セキュリティ | スラッシュバック | バグ | 広告
関連ストーリー: WindowsおよびSambaの重大なバグ「Badlock」、4月12日のパッチリリースが告知される 2016年03月26日