Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

MS、「重要な更新プログラム」でマレーシア認証局を失効処理

マイクロソフトは、マレーシアの認証局「DigiCert Sdn.Bhd」が脆弱な22件の証明書を発行したとして、同認証局への信頼を失効させる更新プログラムを、Windowsアップデートで公開した。

今回問題となっているマレーシアのDigiCert Sdn.Bhdは、Microsoft Root Certificate Programに参加している米DigiCertとは無関係の認証局。512ビットの脆弱な暗号鍵を利用した脆弱な証明書が、同社より発行されたことが確認されている。

現時点で不正利用は確認されていないものの、暗号鍵が破られて証明書を複製された場合、なりすましや中間者攻撃などに悪用される可能性がある。

更新プログラムを適用することにより、中間証明機関であるEntrustによって発行された、「Digisign Server ID – (Enrich)」および、CyberTrustによって発行された、「Digisign Server ID(Enrich)」の証明書が失効となる。

同プログラムは、「セキュリティ更新プログラム」として提供されず、Microsoft Baseline Security Analyzer(MBSA)など一部環境では検出されないため注意が必要。

(Security NEXT - 2011/11/15 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

米当局、Check Point製UTMやLiteLLMの脆弱性悪用に注意喚起
Check Pointのレガシー構成VPNにゼロデイ脆弱性 - 5月初旬より悪用
不正なVPN接続を確立できる「PAN-OS」脆弱性 - 悪用を確認
「Samba」にRCEなど6件の脆弱性 - 修正パッチを公開
複数ソフトが改ざん被害、正規ルートで汚染版が流通 - 米当局が注意喚起
「Argo CD」に深刻な脆弱性 - トークンやAPIキー漏洩のおそれ
「Ivanti EPMM」に複数脆弱性 - ゼロデイ攻撃も発生
「Cisco Webex」のSSO連携に深刻な脆弱性 - 証明書の更新を
Palo Alto、「Cortex XSOAR」など複数製品で脆弱性を修正
「Amazon Athena ODBCドライバ」に脆弱性 - 修正版がリリース

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.