Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

MS、「重要な更新プログラム」でマレーシア認証局を失効処理

マイクロソフトは、マレーシアの認証局「DigiCert Sdn.Bhd」が脆弱な22件の証明書を発行したとして、同認証局への信頼を失効させる更新プログラムを、Windowsアップデートで公開した。

今回問題となっているマレーシアのDigiCert Sdn.Bhdは、Microsoft Root Certificate Programに参加している米DigiCertとは無関係の認証局。512ビットの脆弱な暗号鍵を利用した脆弱な証明書が、同社より発行されたことが確認されている。

現時点で不正利用は確認されていないものの、暗号鍵が破られて証明書を複製された場合、なりすましや中間者攻撃などに悪用される可能性がある。

更新プログラムを適用することにより、中間証明機関であるEntrustによって発行された、「Digisign Server ID – (Enrich)」および、CyberTrustによって発行された、「Digisign Server ID(Enrich)」の証明書が失効となる。

同プログラムは、「セキュリティ更新プログラム」として提供されず、Microsoft Baseline Security Analyzer(MBSA)など一部環境では検出されないため注意が必要。

(Security NEXT - 2011/11/15 ) このエントリーをはてなブックマークに追加

PR

関連記事

全日空のiOSアプリに脆弱性 - 中間者攻撃受けるおそれ
Intel Crosswalk Projectに脆弱性 - 不正証明書を許可すると以降検証せず
「Adobe Creative Cloud」デスクトップ版に3件の脆弱性
ネットワーク対応学習リモコン向けAndroidアプリに脆弱性
iOS版「LINE」にMITM攻撃可能となる脆弱性 - SDKの脆弱性が影響
「Pulse Secure Linux GUI」に脆弱性 - アップデートがリリース
Apple、「macOS High Sierra 10.13.3」などMac向けにセキュリティアップデート
Apple、「iOS 11.2.5」をリリース - 脆弱性13件を修正
一部製品のTLS実装に暗号解読される脆弱性、「ROBOT攻撃」受けるおそれ - 「Facebook」などにも影響
Savitech製USBオーディオ機器ドライバが勝手にルート証明書を追加