-----BEGIN PGP SIGNED MESSAGE-----

各位
                                                   JPCERT-AT-2007-0006
                                                             JPCERT/CC
                                                            2007-02-19

                  <<< JPCERT/CC Alert 2007-02-19 >>>

 ベリサイン マネージド PKI サービスに使用される ActiveX コントロール
                       の脆弱性に関する注意喚起

    Vulnerability in Verisign Managed PKI Service ActiveX control

             http://www.jpcert.or.jp/at/2007/at070006.txt
                                   
I. 概要

  ベリサイン マネージド PKI サービスにて電子証明書の新規取得、更新、再
取得を行う際に使用される ActiveX コントロールにバッファオーバーフロー
の脆弱性があります。結果として遠隔の第三者が任意のコードを実行する可能
性があります。脆弱性の詳細については、以下の URL を参照してください。

    ベリサイン マネージド PKI サービスにおけるバッファオーバーフローの脆弱性対応策のお知らせ
    https://download.verisign.co.jp/support/announce/20070216.html

  なお、ベリサインの情報によると、今回の脆弱性はマネージド PKI サービ
スに使用される ActiveX コントロールのみが対象となっていることから、電
子証明書の仕組み、電子証明書を用いた認証には影響がないことが確認されて
います。


II. 対象

  ベリサイン マネージド PKI から発行された電子証明書を Microsoft
Internet Explorer で新規取得、更新、再取得したユーザが影響を受ける可能
性があります。上記 URL の「対応」項目の手順により、脆弱性の対象となる 
ActiveX コントロールがインストールされているかを確認することが出来ます。


III. 対策

  該当する ActiveX コントロールがインストールされている場合は、ベンダ
が公開している手順に従い ActiveX コントロールを削除してください。


IV. 参考情報

    日本ベリサイン
    FAQ（よくあるご質問）
    https://download.verisign.co.jp/support/announce/20070216/faq.html

    JP Vendor Status Notes JVNVU#308087
    ベリサインの ActiveX コントロールにおけるバッファオーバーフローの脆弱性
    http://jvn.jp/cert/JVNVU%23308087/


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

======================================================================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600  FAX: 03-3518-4602
http://www.jpcert.or.jp/

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBRdlK1ox1ay4slNTtAQEnkgP/X/9rgzKbWU5NowTCeN8z9rvdLSWg1sQJ
r2JIYoig090bFdr9b1jr4ei9daSyksjUmdzz0GRdFgsNkkRkhfsj+PTpM8+5A4N8
XGdwndN69Kt/v49iuK9hQ6dXXwlFp517Ddbt3AWk+Nvzmmqj6byzrNtz1HXVviAh
Rw4s9TE5+fQ=
=fdTC
-----END PGP SIGNATURE-----