政府・業界動向
MD5電子証明書の偽造成功報告に対してMSが見解
ソーシャルブックマーク:
マイクロソフトは、研究機関がMD5ハッシュアルゴリズムを使用したX.509電子署名に対する攻撃が成功したとの報告を受けて、今回の発表の影響で利用者におけるリスクが拡大することはないとの見解をアドバイザリで示した。
今回明らかになったのは、別の内容を持つ同一の証明書を生成できるMD5の脆弱性で、同社製品固有の問題ではないものの、影響が大きさから同社の方針についてアドバイザリを通じて公表したもの。
同社では、攻撃方法の詳細は発表されておらず再現することは困難であり、脆弱性を悪用する攻撃も確認されていないとし、発表以前に発行された証明書については影響を受けず、証明書の取り消し作業などは不要と説明。
またMD5を利用しているか、保有する証明書の発行元認証局へ確認する必要があるが、EV SSL証明書などをはじめ、多くの認証局がSHA-1アルゴリズムへ移行していると指摘した。
一方でMD5アルゴリズムに対する具体的な攻撃方法がはじめて示されたとして、認証局などとSHA-1による署名アルゴリズムへの移行を促進させるとし、情報提供と、必要なガイダンスの提供を行っていく方針だという。
マイクロソフト
http://www.microsoft.com/japan/
(Security NEXT - 2009/01/05更新)
本サイトの記事、図版等の無断転載を禁止します。
関連記事
「iPhone」にサービス停止の脆弱性 - IPAがアップデート呼びかけXSSの脆弱性を解消した「Movable Type 4.26」を公開 - シックス・アパート
「phpMyAdmin」に任意のコマンドが実行される脆弱性
9件の脆弱性を解消した「Firefox 3.0.11」が公開
「MS09-024」は2年近く前にIPA経由で報告した脆弱性 - フォティーンフォティがアドバイザリ
複数の脆弱性を解消した「Adobe Reader」と「Acrobat」が公開
MS、10件の定例セキュリティパッチを公開 - 8件に安定した悪用コード出現のおそれ
6月のセキュリティ更新プログラムは「緊急」6件含む10件 - MS
「DirectX」に脆弱性、ゼロデイ攻撃も発生 - MSがパッチを開発中
シスコシステムズのソフトウェアに「ディレクトリトラバーサル」の脆弱性
