先月29日に発覚したオランダの認証局 DigiNotar社の偽証明書問題について、全容はいまだ不明だが、500以上の証明書が不正発行されていたことが判明した。主要なWebブラウザベンダーは、DigiNotar社関連の全ての証明書を失効させるために追加措置をとっている。マイクロソフトは同社の証明書削除措置を、XPを含むすべての Windowsに拡大。グーグル、モジラもそれぞれのブラウザの最新版を更新した。
■マイクロソフト
米マイクロソフトは6日に「アドバイザリ2607712」を更新、Windows 7/Vista/XP 向けに、DigiNotar社関連の証明書を全て失効させる措置を適用した。同社は8月29日に「信頼されたルート証明機関」リストからDigiNotar社のルート証明書を削除し、Windows Vista 以降の OSについてはこの処置が自動的に反映されたが、自動反映されないWindows XP、Windows Server 2003については対応を検討中としていた。
更新プログラムはWindows Update で配布され、自動更新を有効にしていれば特別な操作なしでダウンロード/インストールされる。自動更新を有効にしていない場合は、Windows Update で手動で確認し、インストールする必要がある。
・Microsoft Security Advisory (2607712)Fraudulent Digital Certificates Could Allow Spoofing[英文](Microsoft)
http://www.microsoft.com/technet/security/advisory/2607712.mspx
・アドバイザリ 2607712 更新-DigiNotar社のデジタル証明書を削除する更新プログラムを公開(日本のセキュリティチーム)
http://blogs.technet.com/b/jpsecurity/archive/2011/09/07/3451476.aspx
■グーグル
グーグルは3日、最新安定版「Google Chrome 13.0.782.220」を公開した。同社は8月31日に、DigiNotar社のルート証明書を削除した「13.0.782.218」を公開していたが、問題の拡大を受け、対策を追加した。アップデートは自動的に行われる。
・Stable Channel Update[英文](Google Chrome Releases)
http://googlechromereleases.blogspot.com/2011/09/stable-channel-update.html
■モジラ
モジラは6日、最新版の「Firefox 6.0.2/3.6.22」と「Thunderbird 6.0.2/3.1.14」を公開した。同社は8月31日に、DigiNotar社のルート証明書を削除した「Firefox 6.0.1/3.6.21」と「Thunderbird 6.0.1/3.1.13」を公開していたが、改良対策を追加した。最新版は自動更新機能を通じて配布されているほか、「ヘルプ」メニューから手動で更新することもできる。
・セキュリティアドバイザリ 2011-35:DigiNotar 社の不正な SSL 証明書からのさらなる保護(Mozilla Japan)
http://www.mozilla-japan.org/security/announce/2011/mfsa2011-35.html
・Firefox 6.0.2 リリースノート(Mozilla Japan)
http://mozilla.jp/firefox/6.0.2/releasenotes/
・Firefox 3.6.22 リリースノート(Mozilla Japan)
http://mozilla.jp/firefox/3.6.22/releasenotes/
・Thunderbird 6.0.2 リリースノート(Mozilla Japan)
http://mozilla.jp/thunderbird/6.0.2/releasenotes/
・Thunderbird 3.1.14 リリースノート(Mozilla Japan)
http://mozilla.jp/thunderbird/3.1.14/releasenotes/
(2011/09/07 ネットセキュリティニュース)
【関連URL:ネットセキュリティニュース】
・グーグルのサーバー証明書が第三者の手に(1)~イランで「中間者攻撃」発生(2011/09/01)
・グーグルのサーバー証明書が第三者の手に(2)~対応に追われるベンダー(2011/09/01)