CVE-2020-0601(CRYPT32.DLLクリティカルエクスプロイト)はWindows 7に影響を及ぼしますか?それを修正するパッチはありますか?
矛盾するレポートを受け取っています。
Googleで検索:「windows 7」修正CVE-2020-0601
上位の結果(PCWorldによる)は、「以前の噂とは異なり、Windows 7には影響しない」としています。
下にスクロールすると、Windows 7以降に影響を与えると主張する記事がたくさん見つかります。
エクスプロイトがWindows 7に影響を与えるかどうかを誰かが確認できますか?影響がある場合、サポートの終了にもかかわらずパッチが利用可能になるでしょうか?
(参考:Windowsには非常に悪い脆弱性がいくつかありますXPこれは何年にもわたってパッチが適用され、Windows 7でパッチを適用するための適切な先例を提供します)
こことGoogleの検索で結論が混在する複数の回答を確認し、Windows 7がこの脆弱性の影響を受けるかどうかについて十分な説明がないため、私は自分で真の回答を特定し、テストプロセスを示しました。
以下は、Proof-Of-Concepts(PoC)が利用可能なWebサイト( https://curveballtest.com/ )を使用している仮想マシン(VM)への新しいWindows 10インストールのスクリーンショットです。この脆弱性の場合、これはこれが機能していることを証明するためのコントロールです。
Windows 10
Windows 10のインストールに関する情報
表示 https://curveballtest.com/ Windows 10のインストールで動作するHTTPSの証明書をスプーフィングするためのPoC。
表示 https://curveballtest.com/ Windows 10のインストールで動作する実行可能ファイルの偽装署名のPoC。
これで、VMに新しいWindows 7インストールを作成しました。以下は https://curveballtest.com/ PoCの結果です。
Windows 7
Windows 7のインストールに関する情報
表示 https://curveballtest.com/ HTTPSのスプーフィング証明書のPoCがWindows 7インストールで機能しない
表示 https://curveballtest.com/ 実行可能ファイルの偽装署名のPoCは、Windows 7インストールでは機能しません。
このテストから、Windows 7はCVE-2020-0601に対して[〜#〜]脆弱ではないと事実上結論付けることができます。
この投稿 SANS ISC InfoSecフォーラムWebサイトの状態
Windows 7は影響を受けません。 。影響を受けるライブラリcrypt32.dll(CryptoAPI)は、Windows 7を含む古いバージョンのWindowsに存在しますが、このライブラリのすべてのバージョンが影響を受けるわけではありません。
および CMU CERT Coordination Center Vulnerability Note VU#849224 の説明
Windows 8.1以前、およびServer 2012 R2以前は、パラメーター付きのECCキーをサポートしていません。このため、この脆弱性を悪用しようとする証明書は、古いバージョンのWindowsでは本質的に信頼されていません。