NEWS(12/09/21 14:20)
Windows Phone 7にSSLサーバー証明書が適切に検証されない脆弱性
“CVSS”による評価は“2.6(注意)”。後日修正プログラムが提供される予定
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)および独立行政法人情報処理推進機構(IPA)は19日、Windows Phone 7にSSLサーバー証明書が適切に検証されない脆弱性(JVNVU#389795)が存在することを脆弱性対策情報ポータルサイト“JVN”で明らかにした。
それによると、POP3/IMAP/SMTPプロトコルでメールを送受信する際に、SSLサーバー証明書のCN(コモンネーム)が検証されない不具合があり、第三者による中間者攻撃が行われる恐れがあるという。9月18日現在、対策方法はない。
ただし攻撃条件が複雑であるため、脆弱性評価システム“CVSS”による評価は10点満点で“2.6(注意)”に留まっている。Microsoftでは、修正プログラムの提供を予定しているとのこと。
- URL
- Japan Vulnerability Notes
http://jvn.jp/ - JVNVU#389795: Windows Phone 7 に SSL サーバ証明書の検証不備の脆弱性
http://jvn.jp/cert/JVNVU389795 - JVNDB-2012-004395 - JVN iPedia - 脆弱性対策情報データベース
http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-004395.html - Windows Phone(日本)
http://www.windowsphone.com/ja-jp