公開日:2007/02/19 最終更新日:2007/03/02

JVNVU#308087
ベリサインの ActiveX コントロールにおけるバッファオーバーフローの脆弱性

概要

ベリサインのマネージドPKIサービスで使用されている ActiveX コントロール vscnfchk.dll にバッファオーバーフローの脆弱性が確認されました。
この ActiveX コントロールは、Internet Explorer を用いて電子証明書を申請・更新・再取得する際にインストールされるものです。

ベンダからの情報によると、当該 ActiveX コントロールがインストールされている場合には削除することが推奨されています。また、電子証明書および電子証明書を用いた認証には影響ないことが確認されています。詳しくは、ベンダが提供する情報をご確認ください。

影響を受けるシステム

  • Internet Explorer でベリサインのマネージドPKIサービスによる電子証明書を申請・更新・再取得したことのあるコンピュータ

詳細情報

想定される影響

巧妙に細工された web ページや HTML 形式のメールを閲覧するなどにより、ユーザの権限で任意のコードを実行される可能性があります。

対策方法

ベンダ情報

ベンダ リンク
日本ベリサイン ベリサイン マネージドPKIサービスにおけるバッファオーバーフローの脆弱性対応策のお知らせ
日本ベリサイン ベリサイン マネージドPKIサービスにおけるバッファオーバーフローの脆弱性対応策のお知らせ - FAQ(よくあるご質問)

参考情報

  1. Vulnerability Note VU#308087
    VeriSign Managed PKI Configuration Checker ActiveX control stack buffer overflow

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2007-0006
ベリサイン マネージド PKI サービスに使用される ActiveX コントロールの脆弱性に関する注意喚起
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia