マイクロソフト、証明書の有効範囲確認に関するセキュリティホールについて公表。影響範囲はWindowsとMacの両方に | RBB TODAY

マイクロソフト、証明書の有効範囲確認に関するセキュリティホールについて公表。影響範囲はWindowsとMacの両方に

エンタープライズ その他

 マイクロソフトは、電子証明書を取り扱うコードにセキュリティ上の問題があると発表した。このセキュリティホールは、マイクロソフトのCryptoAPIに含まれるいくつかのAPIが、X.509形式の証明書にある基本制約(basic constraints)オプションフィールドをチェックしないことが原因のもの。

 電子証明書には有効範囲があるが、これが適切にチェックされないため、攻撃者のウェブサイトを「信頼するサイト」に見せかけて個人情報を入力させたり、電子メールの署名に偽の電子証明書をつけたり、証明書ベースの認証を使用するアプリケーションで、より高い権限を取得したりできるという。

 この問題によって以下のWindowsOSとMac用アプリケーションが影響を受ける。このうち、Windows OSについては深刻度は「高」に、Macアプリケーションについては深刻度は「中」とされている。

・Windows98/98SE/Me/NT4.0/NT4.0TSE/2000/XP
・Office 98/2001/v.X for Mac
・Internet Explorer for Mac(for OS8.1 to 9.x/for OS X)
・Outlook Express 5.0.5 for Mac
(上記以外のソフト(Windows95など)についてはサポートが終了しているということで確認は行われていない)

 現在のところ、修正プログラムはWindows NT4.0、NT4.0TSE、XP用のものが提供されており、それ以外の製品についての修正プログラムは準備中となっている。

 電子証明書についての脆弱性は一般のユーザにとってはあまり縁がなさそうに見えるかもしれないが、オンラインショッピングなどでも使用される重要なものであり、修正ファイルが提供され次第アップデートを行って欲しい。
《RBB TODAY》

編集部のおすすめ記事

特集

page top