CVE-2017-13081 について、セキュリティ更新プログラムで対応しないのでしょうか?

CVE-2017-13081(グループ鍵ハンドシェイクで整合性グループ鍵(IGTK)の再インストール)について,

Windowsの対応を教えてください。


**モデレーター注**

タイトルを編集させていただきました。
変更前タイトル : CVE-2017-13081について

 

質問情報


最終更新日 2018年5月23日 表示 406 適用先:

w326v さん、こんにちは。
マイクロソフト コミュニティへの投稿ありがとうございます。

CVE-2017-13081 について記載しているマイクロソフトのサポート ページは見つけられませんでした。また、情報公開の予定があるのか、ある場合にいつ頃公開するかについても不明の状況です。

※ ネットワーク機器メーカー等のサポートページに、情報が記載されている場合があるようです

(英語)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171016-wpa

セキュリティ対策ソフトのメーカーが公開している情報もあるので、参考にしてはいかがでしょうか。

(日本語)
https://www.symantec.com/connect/ja/blogs/krack-wi-fi

楠部 啓 – Microsoft Support

この回答で問題は解決しましたか?

役に立ちませんでした。

回答としてマークしていただきありがとうございます。

この返信の満足度をお教えください。

フィードバックをお送りいただきありがとうございます。今後のサイト改善に役立てて参ります。

この回答の満足度をお教えください。

フィードバックをお送りいただきありがとうございます。

w326v さん、こんにちは。

>楠部さん、いつも大変お世話になっております。

CVE-2017-13081(グループ鍵ハンドシェイクで整合性グループ鍵(IGTK)の再インストール)について,Windowsの対応を教えてください。

だいぶお時間が経過しておりますので既に解決済でしょうか。

特定のCVE番号(130801)のみをご質問に挙げられているので何らかの理由があるのかも知れませんね。

もしそうでしたらあまり参考にならないかも知れませんが、、、いわゆる「KRACKs(WPA2の脆弱性)」問題に対するWindows OSとしての対応ということでしたら、今回挙がったCVE-2017-13077~13088の全てが該当するという訳ではなく、最新のセキュリティ更新プログラムを適用してあれば既に対応済という認識でおります。

Vulnerability Note VU#228519 - Wi-Fi Protected Access (WPA) handshake traffic can be manipulated to induce nonce and session key reuse

※英語記事ですので必要に応じて Bing翻訳 等をお使いください。

のベンダーごとの影響度等一覧情報

Vendor Information for VU#228519  

のMicrosoft Corporation のステータスは「Affected」となっていますが、そのリンクを開くと、

Microsoft Corporation Information for VU#228519

(から引用)

Microsoft released a security update on October 10, 2017, and customers who have Windows Update enabled and applied the security updates, are protected automatically.

とコメントがあり、具体的な(現在サポートしている)OSに関するセキュリティ更新プログラム(KB番号)については下記にてリストアップされています。

CVE-2017-13080 | Windows Wireless WPA Group Key Reinstallation Vulnerability

いずれも10月のPatch Tuesdayで提供された最新のセキュリティ更新プログラムのKB番号かと思います。

上記リストにはFall Creators Update(FCU;1709)はありませんが、少なくとも上記更新プログラム提供以降に一般配布が始まっていますし、その後直ちにKB4043961が提供(OSビルド16299.19化)されていますので、こちらも最新のOSビルドにしてあれば問題ないと考えます。

(参考)

WPA2の脆弱性「KRACK」対処パッチ、Microsoftは対応済み、AppleのOSとAndroidは数週間中 - ITmedia NEWS

その他はMSRCのサイトなどを適宜確認して情報のアップデート有無を確認する感じかと思います。

Security Update Guide|MSRC

ただし、あくまでも上記はWindows OSレベルでの対応問題であって、各種デバイス提供元は影響のある脆弱性について、それぞれ別途修正プログラムやドライバ、ファームウェア等が提供されることが必要になると思っています。

ご質問の意味/ 求める結果が異なるようでしたら、余計な情報で申し訳ありません。

見なかったことにしてくださいませ。

w326v さんからのお返事をお待ちしております。

この回答で問題は解決しましたか?

役に立ちませんでした。

回答としてマークしていただきありがとうございます。

この返信の満足度をお教えください。

フィードバックをお送りいただきありがとうございます。今後のサイト改善に役立てて参ります。

この回答の満足度をお教えください。

フィードバックをお送りいただきありがとうございます。

楠部さん、みずなずみさん

ご回答ありがとうございます。
また返信が遅くなり申し訳ありません。

当方が気になったのは、脆弱性ありと判断されてセキュリティ更新プログラムで対応済みとされたのが「CVE-2017-13080」のみだった点です。

(この問題は実際には4Wayのメッセージ3の再送を許容しない実装であったため回避できていたかと思います)

私の勉強不足や見当違いでしたら大変恥ずかしいのですが、「CVE-2017-13081」についても脆弱性があるように思いました。

これは、下記サイト「Windows8ではIEEE802.11w準拠している」という記事が根拠で、それ以降のOSでも同様なのでは?と考えたからです。

https://support.microsoft.com/ja-jp/help/2749073/windows-8-may-not-be-able-to-connect-to-some-cisco-routers

CVE-2017-13081には脆弱性が無いと判断された理由をお聞きしたくご質問させて頂きました。

よろしくお願い致します。

この回答で問題は解決しましたか?

役に立ちませんでした。

回答としてマークしていただきありがとうございます。

この返信の満足度をお教えください。

フィードバックをお送りいただきありがとうございます。今後のサイト改善に役立てて参ります。

この回答の満足度をお教えください。

フィードバックをお送りいただきありがとうございます。