公開日:2014/11/14 最終更新日:2015/01/16

JVNVU#99732679
Microsoft Secure Channel (Schannel) に任意のコード実行が可能な脆弱性
緊急

概要

Microsoft Secure Channel (Schannel) には、任意のコード実行が可能な脆弱性が存在します。

影響を受けるシステム

  • Microsoft Windows RT 8.1
  • Microsoft Windows RT
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2012
  • Microsoft Windows 8.1
  • Microsoft Windows 8
  • Microsoft Windows 7 SP1
  • Microsoft Windows Server 2008 R2 SP1
  • Microsoft Windows Server 2008 SP2
  • Microsoft Windows Vista SP2
  • Microsoft Windows Server 2003 SP2
Microsoft Windows XP および Microsoft Windows 2000 も影響を受ける可能性があります。

詳細情報

Microsoft が提供する Secure Channel (Schannel) は、Windows プラットフォームに SSL/TLS プロトコルの処理機能を提供するセキュリティパッケージです。Secure Channel (Schannel) には、細工されたパケットを処理することにより、任意のコードが実行される脆弱性が存在します。

なお、匿名の Pastebin ユーザによって、攻撃コードが公開される可能性があります。

想定される影響

遠隔の第三者によって、任意のコードが実行されたり、システムを操作されたりする可能性があります。

対策方法

アップデートする
Microsoft が提供する情報 (マイクロソフト セキュリティ情報 MS14-066) をもとにアップデートしてください。

ベンダ情報

ベンダ リンク
Microsoft マイクロソフト セキュリティ情報 MS14-066 - 緊急
Secure Channel

参考情報

  1. CERT/CC Vulnerability Note VU#505120
    Microsoft Secure Channel (Schannel) vulnerable to remote code execution via specially crafted packets
  2. IPA
    更新:Microsoft 製品の脆弱性対策について(2014年11月)

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2014.11.14における脆弱性分析結果(CVSS Base Metrics)  緊急

CVSSとは

評価尺度 評価値 説明
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N) ネットワーク経由でリモートから攻撃可能
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L) 攻撃成立に必要な条件はない
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N) 認証は不要
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C) 全ての情報が漏えいする
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C) 情報の正確さや完全さが全面的に損なわれる
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C) システムの使用が全面的に阻害される

Base Score:10.0

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2014-0045
2014年11月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起
JPCERT REPORT
CERT Advisory US-CERT Alert (TA14-318A)
Microsoft Secure Channel (Schannel) Vulnerability (CVE-2014-6321)
CPNI Advisory
TRnotes
CVE CVE-2014-6321
JVN iPedia JVNDB-2014-005389

更新履歴

2014/11/17
影響を受けるシステムを更新し、関連文書にリンクを追加しました。
2015/01/16
参考情報に IPA の注意喚起を追加しました。