NEWS(12/09/21 14:20)

Windows Phone 7にSSLサーバー証明書が適切に検証されない脆弱性

“CVSS”による評価は“2.6(注意)”。後日修正プログラムが提供される予定

 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)および独立行政法人情報処理推進機構(IPA)は19日、Windows Phone 7にSSLサーバー証明書が適切に検証されない脆弱性(JVNVU#389795)が存在することを脆弱性対策情報ポータルサイト“JVN”で明らかにした。

 それによると、POP3/IMAP/SMTPプロトコルでメールを送受信する際に、SSLサーバー証明書のCN(コモンネーム)が検証されない不具合があり、第三者による中間者攻撃が行われる恐れがあるという。9月18日現在、対策方法はない。

 ただし攻撃条件が複雑であるため、脆弱性評価システム“CVSS”による評価は10点満点で“2.6(注意)”に留まっている。Microsoftでは、修正プログラムの提供を予定しているとのこと。

(柳 英俊)