Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

MS、「重要な更新プログラム」でマレーシア認証局を失効処理

マイクロソフトは、マレーシアの認証局「DigiCert Sdn.Bhd」が脆弱な22件の証明書を発行したとして、同認証局への信頼を失効させる更新プログラムを、Windowsアップデートで公開した。

今回問題となっているマレーシアのDigiCert Sdn.Bhdは、Microsoft Root Certificate Programに参加している米DigiCertとは無関係の認証局。512ビットの脆弱な暗号鍵を利用した脆弱な証明書が、同社より発行されたことが確認されている。

現時点で不正利用は確認されていないものの、暗号鍵が破られて証明書を複製された場合、なりすましや中間者攻撃などに悪用される可能性がある。

更新プログラムを適用することにより、中間証明機関であるEntrustによって発行された、「Digisign Server ID – (Enrich)」および、CyberTrustによって発行された、「Digisign Server ID(Enrich)」の証明書が失効となる。

同プログラムは、「セキュリティ更新プログラム」として提供されず、Microsoft Baseline Security Analyzer(MBSA)など一部環境では検出されないため注意が必要。

(Security NEXT - 2011/11/15 ) このエントリーをはてなブックマークに追加

PR

関連記事

Savitech製USBオーディオ機器ドライバが勝手にルート証明書を追加
OpenSSLにセキュリティアップデート - 脆弱性2件を修正
広く利用される暗号化ライブラリに脆弱性「ROCA」 - 鍵長1024ビットなら解析コストは1万円以下
「macOS High Sierra 10.13」が登場 - 脆弱性43件を解消
インターコムの「MaLion」に認証不備やSQLiなど複数の脆弱性
「商業登記電子認証ソフト」のインストーラに脆弱性
「IE」や「Edge」でも「SHA-1」利用サイトの読み込みをブロック - 警告を表示
Apple、「iOS 10.3」をリリース - 84件の脆弱性を修正
「SHA-1」危殆化で主要ブラウザは警告表示 - MSは2017年中盤へ延期
Mac版ESETに深刻な脆弱性、コード実行のおそれ - アップデートで修正