公開日:2017/11/06 最終更新日:2017/11/08
JVNVU#99936709
Savitech 製 USB オーディオドライバがルート CA 証明書を許可なくインストールする問題
Savitech が提供する一部の USB オーディオ機器向けドライバは、Savitech のルート CA 証明書を、ユーザーの許可なく Windows の信頼されたルート証明機関ストアにインストールします。
- Savitech ドライバパッケージ version 2.8.0.3 より前のバージョン
Savitech は、多くのオーディオ製品向け USB オーディオドライバを提供しています。Savitech ドライバパッケージは、一部のバージョンにおいて、Savitech のルート CA 証明書をユーザの許可なく Windows の信頼されたルート証明機関ストアにインストールします。
Savitech の秘密鍵を攻撃者が入手した場合、ウェブサイトやその他のサービスのなりすまし、悪意のあるソフトウェアの配布、中間者攻撃による暗号化されたデータやネットワークトラフィックの復号が行われる可能性があります。
Savitech のルート CA 証明書を削除する
現在のところ、Savitech の秘密鍵が漏えいしたという報告はありませんが、Savitech ドライバパッケージをインストールしたユーザーに対しては、以下のルート CA 証明書をシステムから削除することを推奨します。
- SaviAudio root certificate #1
有効期間: Thursday, May 31, 2012 - Tuesday, December 30, 2036
シリアル番号: 579885da6f791eb24de819bb2c0eeff0
Thumbprint: cb34ebad73791c1399cb62bda51c91072ac5b050
シリアル番号: 579885da6f791eb24de819bb2c0eeff0
Thumbprint: cb34ebad73791c1399cb62bda51c91072ac5b050
- SaviAudio root certificate #2
有効期間: Thursday, December 31, 2015 - Tuesday, December 30, 2036
シリアル番号: 972ed9bce72451bb4bd78bfc0d8b343c
Thumbprint: 23e50cd42214d6252d65052c2a1a591173daace5
シリアル番号: 972ed9bce72451bb4bd78bfc0d8b343c
Thumbprint: 23e50cd42214d6252d65052c2a1a591173daace5
Savitech によると、この証明書は Windows XP 向けに用意されたものであり、Windows XP より後の OS では不要のものでしたが、ドライバパッケージから削除されていませんでした。この問題は CVE-2017-9758 として登録されています。
アップデートする
Savitech のルート CA 証明書を削除した後、最新の Savitech ドライバパッケージをインストールしてください。
-
CERT/CC Vulnerability Note VU#446847
Savitech USB audio drivers install a new root CA certificate -
RSA Link
Inaudible Subversion - Did your Hi-Fi just subvert your PC? -
Microsoft | TechNet
Configure Trusted Roots and Disallowed Certificates -
Microsoft | TechNet
Delete a Certificate -
Microsoft | TechNet
Microsoft Security Advisory 3119884 -
CERT/CC Blog
The Risks of SSL Inspection -
KristoferA's blog
Do you know which CAs can issue SSL/TLS certificates trusted by your PC or phone?
CVSS v3
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
基本値:
8.1
| 攻撃元区分(AV) | 物理 (P) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
|---|---|---|---|---|
| 攻撃条件の複雑さ(AC) | 高 (H) | 低 (L) | ||
| 必要な特権レベル(PR) | 高 (H) | 低 (L) | 不要 (N) | |
| ユーザ関与レベル(UI) | 要 (R) | 不要 (N) | ||
| スコープ(S) | 変更なし (U) | 変更あり (C) | ||
| 機密性への影響(C) | なし (N) | 低 (L) | 高 (H) | |
| 完全性への影響(I) | なし (N) | 低 (L) | 高 (H) | |
| 可用性への影響(A) | なし (N) | 低 (L) | 高 (H) |
CVSS v2
AV:N/AC:M/Au:N/C:C/I:C/A:N
基本値:
8.8
| 攻撃元区分(AV) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
|---|---|---|---|
| 攻撃条件の複雑さ(AC) | 高 (H) | 中 (M) | 低 (L) |
| 攻撃前の認証要否(Au) | 複数 (M) | 単一 (S) | 不要 (N) |
| 機密性への影響(C) | なし (N) | 部分的 (P) | 全面的 (C) |
| 完全性への影響(I) | なし (N) | 部分的 (P) | 全面的 (C) |
| 可用性への影響(A) | なし (N) | 部分的 (P) | 全面的 (C) |
- 2017/11/08
- 想定される影響を更新し、参考情報にリンクを追加しました。
