Microsoft、不正証明書失効の更新プログラムを再配信

Microsoftが先に配信したセキュリティ以外の更新プログラムに不備があったことが分かった。

[鈴木聖子，ITmedia]

　米Microsoftが9月13日（米国時間）に配信したセキュリティ以外の更新プログラムに不備があったことが分かり、問題を修正した累積的な更新プログラムをWindows XPとWindows Server 2003向けに改めてリリースした。セキュリティ対策センターのブログで19日に明らかにした。

　この更新プログラム「KB2616676」はオランダの認証局DigiNotarが不正なSSL証明書を発行していた問題に対応するもので、関連の認証局が発行した証明書を全て失効させるはずだった。しかし、実際に同プログラムで失効させた不正証明書は6件にとどまり、それ以前に別の更新プログラムで対応した不正証明書を失効させる措置が盛り込まれていないことが分かったという。

　不正な証明書が無効化されない場合、第三者が通信に割り込んで情報を盗み出す中間者攻撃に利用される恐れがある。このためMicrosoftは、それまでの更新プログラムの内容を盛り込んだ累積的な更新プログラムとして、「KB2616676」を改めてリリースした。自動更新を有効にしているシステムには自動的に配信される。

　対象となるのはWindows XPとWindows Server 2003のみ。一方、Windows Vista、Windows 7、Windows Server 2008、Windows Server 2008 R2はこの更新プログラムに関する問題の影響は受けないという。