ベリサイン マネージドPKIサービスに使用される ActiveXコントロールの脆弱性に関する注意喚起
最終更新: 2007-02-19
各位
JPCERT-AT-2007-0006
JPCERT/CC
2007-02-19
<<< JPCERT/CC Alert 2007-02-19 >>>
ベリサイン マネージド PKI サービスに使用される ActiveX コントロール
の脆弱性に関する注意喚起
Vulnerability in Verisign Managed PKI Service ActiveX control
http://www.jpcert.or.jp/at/2007/at070006.txt
I. 概要
ベリサイン マネージド PKI サービスにて電子証明書の新規取得、更新、再
取得を行う際に使用される ActiveX コントロールにバッファオーバーフロー
の脆弱性があります。結果として遠隔の第三者が任意のコードを実行する可能
性があります。脆弱性の詳細については、以下の URL を参照してください。
ベリサイン マネージド PKI サービスにおけるバッファオーバーフローの脆弱性対応策のお知らせ
https://download.verisign.co.jp/support/announce/20070216.html
なお、ベリサインの情報によると、今回の脆弱性はマネージド PKI サービ
スに使用される ActiveX コントロールのみが対象となっていることから、電
子証明書の仕組み、電子証明書を用いた認証には影響がないことが確認されて
います。
II. 対象
ベリサイン マネージド PKI から発行された電子証明書を Microsoft
Internet Explorer で新規取得、更新、再取得したユーザが影響を受ける可能
性があります。上記 URL の「対応」項目の手順により、脆弱性の対象となる
ActiveX コントロールがインストールされているかを確認することが出来ます。
III. 対策
該当する ActiveX コントロールがインストールされている場合は、ベンダ
が公開している手順に従い ActiveX コントロールを削除してください。
IV. 参考情報
日本ベリサイン
FAQ(よくあるご質問)
https://download.verisign.co.jp/support/announce/20070216/faq.html
JP Vendor Status Notes JVNVU#308087
ベリサインの ActiveX コントロールにおけるバッファオーバーフローの脆弱性
http://jvn.jp/cert/JVNVU%23308087/
今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。
======================================================================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
Topへ