reynotch

reynotch

-
 マイクロソフトは米国時間2014年11月11日(日本時間同年11月12日)、19年間もの長い間検出されなかった脆弱性を修正するパッチを公開しました。
 
BBC News - Microsoft fixes '19-year-old' bug with emergency patch
Microsoft has patched a critical bug in its software that had existed for 19 years.IBM researchers discovered the flaw, which affects Windows and Office products, in May this year - but worked with Microsoft to fix the problem before going public.



  
 この脆弱性は、今年5月にIBMのセキュリティチーム「X-Force」が発見していたもの。
 
IBM X-Force Researcher Finds Significant Vulnerability in Microsoft Windows
The IBM X-Force Research team has identified a significant data manipulation vulnerability (CVE-2014-6332) with a CVSS score of 9.3 in every version of Microsoft Windows from Windows 95 onward.



 同チームのブログによると、この脆弱性は19年前、つまり「Windows 95」の時点で存在していたとのこと。

windows95.jpg

 
 この脆弱性を悪用することで攻撃者はリモートからPCを乗っ取ることが可能となります。「Windows 95」以降の全てのバージョンのWindowsが対象となります。

 つまり、19年間もの間、Windowsはリモートから悪用される状態にあったということになります。

 「X-Force」よりも先にこの脆弱性に気づいていた人物がいたかどうかは不明です。

 それにしても19年間も気づかずにバージョンアップを続けていたとは。その間、Windows95系列は「Windows Me」で終わり、サーバOSのNT系列である「Windows XP」に受け継がれたり、32ビットだけでなく64ビット版のWindowsも誕生したりしていますが、それらにもずっとその脆弱性が潜んでいたというのはちょっと不思議です。

 意図的に仕込まれた脆弱性だったりして。怖っ。