ニュース 2002年9月5日 07:11 PM 更新

証明書の有効範囲確認に関するセキュリティホール マイクロソフト

マイクロソフトは、電子証明書を取り扱うコードにセキュリティ上の問題があると発表した。これは、CryptoAPIに含まれるいくつかのAPIが、X.509形式の証明書にある基本制約オプションフィールドをチェックしないことが原因のもの

 マイクロソフトは、電子証明書を取り扱うコードにセキュリティ上の問題があると発表した。このセキュリティホールは、マイクロソフトのCryptoAPIに含まれるいくつかのAPIが、X.509形式の証明書にある基本制約(basic constraints)オプションフィールドをチェックしないことが原因のもの。

 電子証明書には有効範囲があるが、これが適切にチェックされないため、攻撃者のウェブサイトを「信頼するサイト」に見せかけて個人情報を入力させたり、電子メールの署名に偽の電子証明書をつけたり、証明書ベースの認証を使用するアプリケーションで、より高い権限を取得したりできるという。

 この問題によって以下のWindows OSとMac用アプリケーションが影響を受ける。このうち、Windows OSについては深刻度は「高」に、Macアプリケーションについては深刻度は「中」とされている。

  • Windows98/98SE/Me/NT4.0/NT4.0TSE/2000/XP
  • Office 98/2001/v.X for Mac
  • Internet Explorer for Mac(for OS8.1 to 9.x/for OS X)
  • Outlook Express 5.0.5 for Mac

※上記以外のソフト(Windows95など)についてはサポートが終了しているということで確認は行われていない

 現在のところ、修正プログラムはWindows NT4.0、NT4.0TSE、XP用のものが提供されており、それ以外の製品についての修正プログラムは準備中となっている。

 電子証明書についての脆弱性は一般のユーザーにとってはあまり縁がなさそうに見えるかもしれないが、オンラインショッピングなどでも使用される重要なものであり、修正ファイルが提供され次第アップデートを行って欲しい。

関連リンク
▼ マイクロソフト

[記事提供:RBBTODAY ]



Special

おすすめPC情報テキスト

モバイルショップ

最新CPU搭載パソコンはドスパラで!!
第3世代インテルCoreプロセッサー搭載PC ドスパラはスピード出荷でお届けします!!

最新スペック搭載ゲームパソコン
高性能でゲームが快適なのは
ドスパラゲームパソコンガレリア!