マイクロソフトは、電子証明書を取り扱うコードにセキュリティ上の問題があると発表した。このセキュリティホールは、マイクロソフトのCryptoAPIに含まれるいくつかのAPIが、X.509形式の証明書にある基本制約(basic constraints)オプションフィールドをチェックしないことが原因のもの。 電子証明書には有効範囲があるが、これが適切にチェックされないため、攻撃者のウェブサイトを「信頼するサイト」に見せかけて個人情報を入力させたり、電子メールの署名に偽の電子証明書をつけたり、証明書ベースの認証を使用するアプリケーションで、より高い権限を取得したりできるという。 この問題によって以下のWindowsOSとMac用アプリケーションが影響を受ける。このうち、Windows OSについては深刻度は「高」に、Macアプリケーションについては深刻度は「中」とされている。・Windows98/98SE/Me/NT4.0/NT4.0TSE/2000/XP・Office 98/2001/v.X for Mac・Internet Explorer for Mac(for OS8.1 to 9.x/for OS X)・Outlook Express 5.0.5 for Mac(上記以外のソフト(Windows95など)についてはサポートが終了しているということで確認は行われていない) 現在のところ、修正プログラムはWindows NT4.0、NT4.0TSE、XP用のものが提供されており、それ以外の製品についての修正プログラムは準備中となっている。 電子証明書についての脆弱性は一般のユーザにとってはあまり縁がなさそうに見えるかもしれないが、オンラインショッピングなどでも使用される重要なものであり、修正ファイルが提供され次第アップデートを行って欲しい。
