■URL
http://www.microsoft.com/technet/security/news/IARWSV.asp?frame=true
米Microsoftは14日、ブラウザー「Internet Explorer」(IE)のSSL機能に脆弱性が見つかったとの警告を発した。IEのSSL実装に問題があり、攻撃者がWebサイトを本物だと証明する処理を迂回させるサイトを作成して“信頼できるサイト”になりすますことで、ユーザーからクレジットカードなどの個人情報を盗難することが可能になるという。
この脆弱性により、有効なデジタル証明書を発行している攻撃者が偽の証明書を作成し、他のWebサイトになりすますことが可能になる。
セキュリティー専門家は、この脆弱性は非常に深刻だと警告。しかし、Microsoftはこの脆弱性を確認したものの、実際に悪用するのは困難だとしている。その理由として、ユーザーが攻撃者のサイトを訪れた場合、異なるサイトだと信じさせるにはDNSなどのインフラを修正する必要があること、デジタル証明書を発行する機関により攻撃者を簡単に特定できること、SSLセッション確立時に表示されるアイコンをダブルクリックすればサイトのデジタル証明に関する情報を確認できること、を挙げている。
この脆弱性を悪用するのは困難だが、脆弱性が存在するのは事実であるとして、Microsoftはこの問題を修正するパッチを開発中。パッチの準備ができ次第、セキュリティーページにて公開する予定だ。
(2002/8/19)
[Reported by 江藤 浩幸]