ニュース
Microsoft、不正な中間証明書を失効させる更新プログラムをWindows XP向けに公開
Windows 8以降は影響を受けず。Windows Vista/7も基本的にユーザーによる対応は不要
(2013/12/16 15:21)
米Microsoft Corporationは13日(現地時間)、セキュリティ更新プログラム「KB2917500」をWindows XP/Server 2003向けに公開した。現在、同社のダウンロードセンターから無償でダウンロード可能。また、“Windows Update”での配信も行われている。本更新プログラムには、フランスの政府機関ANSSI傘下の認証機関によって誤発行されたGoogleドメインの中間証明書への対策が含まれているとのこと。
この誤った証明書を信頼し続けると、最悪の場合、Google関連サイトになりすましたフィッシング攻撃や中間者攻撃を受ける恐れがある。現時点でこの問題に関連した攻撃は確認されていないが、早期のアップデートが望ましい。
なお、Windows 8(RTを含む)以降であれば証明書信頼リスト(CTL)が自動で更新されるためこの問題の影響は受けない。また、Windows Vista/Server 2008/7/Server 2008 R2環境であっても、失効した証明書の自動更新ツール(KB2677070)がインストールされていればユーザーによる対応は不要。
また、Mozilla製品は独自に証明書信頼リストを管理しているが、10日に公開された「Firefox」v26.0および「Thunderbird」v24.2.0ですでに対策が施されている。