証明書の有効範囲確認に関するセキュリティホール マイクロソフトマイクロソフトは、電子証明書を取り扱うコードにセキュリティ上の問題があると発表した。これは、CryptoAPIに含まれるいくつかのAPIが、X.509形式の証明書にある基本制約オプションフィールドをチェックしないことが原因のもの
マイクロソフトは、電子証明書を取り扱うコードにセキュリティ上の問題があると発表した。このセキュリティホールは、マイクロソフトのCryptoAPIに含まれるいくつかのAPIが、X.509形式の証明書にある基本制約(basic constraints)オプションフィールドをチェックしないことが原因のもの。
電子証明書には有効範囲があるが、これが適切にチェックされないため、攻撃者のウェブサイトを「信頼するサイト」に見せかけて個人情報を入力させたり、電子メールの署名に偽の電子証明書をつけたり、証明書ベースの認証を使用するアプリケーションで、より高い権限を取得したりできるという。
この問題によって以下のWindows OSとMac用アプリケーションが影響を受ける。このうち、Windows OSについては深刻度は「高」に、Macアプリケーションについては深刻度は「中」とされている。
※上記以外のソフト(Windows95など)についてはサポートが終了しているということで確認は行われていない
現在のところ、修正プログラムはWindows NT4.0、NT4.0TSE、XP用のものが提供されており、それ以外の製品についての修正プログラムは準備中となっている。
電子証明書についての脆弱性は一般のユーザーにとってはあまり縁がなさそうに見えるかもしれないが、オンラインショッピングなどでも使用される重要なものであり、修正ファイルが提供され次第アップデートを行って欲しい。 マイクロソフト [記事提供:RBBTODAY ] モバイルショップ
最新CPU搭載パソコンはドスパラで!!
最新スペック搭載ゲームパソコン
FEED BACK |