Windowsのデジタル証明書が削除されるセキュリティ・ホール



 すべてのバージョンのWindowsに,隠れた攻撃者が弱点のあるシステム上のデジタル証明書を削除できるセキュリティ・ホールが存在する。 この弱点は,Windowsがユーザーの証明書の記憶場所の中でPublic-Key Cryptography Standards (PKCS) #10に準拠した証明書の要求を送信したり記憶したりするときに使うCertificate Enrollment Control ActiveXコントロールの中のバグによって生じたものだ。この弱点をうまく突いた攻撃者は信頼されたルート証明書や暗号化ファイル・システム(EFS)で使う証明書,電子メールの署名用証明書,そのほか弱点のあるシステム上のどんな証明書でも破壊できる。Microsoftはこの弱点について解説した記事Security Bulletin MS02-048(Flaw in Certificate Enrollment Control Could Allow Deletion of Digital Certificates)を公開して影響のあるユーザーにはその記事で触れたパッチをすぐダウンロードして適用するよう勧めている。

【英文情報】http://www.secadministrator.com/articles/index.cfm?articleid=26481