多数のマイクロソフト製品に他人になりすして証明書を使えるセキュリティ・ホール



 攻撃者が他人になりすましてデジタル証明書を使えるというCryptoAPIの弱点をMicrosoftが発見した。この弱点は証明書チェーンを構成し,妥当性を検査するAPI群の問題から生じている。それらは基本制約フィールドをチェックしない。同様の弱点(ただしCryptoAPIには関係のない)は多くのMacintosh向け製品にもある。Microsoftはこの弱点を解説したSecurity Bulletin MS02-050(Certificate Validation Flaw Could Enable Identity Spoofing)を公開した(訳注:日本語サイトではhttp://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS02-050.asp,「証明書確認の問題により、ID が偽装される (Q328145) (MS02-050)」)。影響を受けるユーザーは記事中で挙げられている適切なパッチを適用する必要がある。

【英文情報】 http://www.secadministrator.com/articles/index.cfm?articleid=26559