検出

Windows Phone7 < 7.0.7392 の古い SSL ブラックリスト

medium Nessus プラグイン ID 62516

Language:

概要

Windows Phone7 には、古くなった SSL 証明書のブラックリストがあります。

説明

システムの SSL 証明書ブラックリストを更新する KB2524375 が、リモートホストにありません。

認証機関(CA)により、複数の主要な公開 Web サイトの多くの不正な SSL 証明書が取り消されました。この更新がインストールされていないと、ブラウザは、Online Certificate Status Protocol(OCSP)が無効になっているか、OCSP が有効でエラーが発生した場合に、証明書が取り消されていることを知ることができません。

攻撃者がユーザーを騙して、影響を受けるブラウザを使用させ、偽の証明書の 1 つを利用する悪意のある Web サイトにアクセスさせることで、このユーザーにそのサイトが正当であると信じ込ませることが可能な場合があります。これにより、ユーザーが、悪意のあるサイトに認証情報を送信したり、アプリケーションをダウンロードしてインストールする可能性があります。

ソリューション

Microsoft から提供されている関連する更新を適用してください。

参考資料

http://www.nessus.org/u?14606051

http://www.nessus.org/u?1847e055

http://www.comodo.com/Comodo-Fraud-Incident-2011-03-23.html

https://docs.microsoft.com/en-us/security-updates/SecurityAdvisories/2011/2524375

https://support.microsoft.com/en-us/help/2524375/microsoft-security-advisory-fraudulent-digital-certificates-could-allo

プラグインの詳細

深刻度: Medium

ID: 62516

ファイル名: windows_phone7_0_7392.nbin

バージョン: 1.96

タイプ: local

ファミリー: Mobile Devices

公開日: 2012/10/12

更新日: 2024/4/8

サポートされているセンサー: Nessus

リスク情報

CVSS v2

リスクファクター: Medium

基本値: 6.8

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: cpe:/o:windows:winphone

必要な KB アイテム: mdm/dependency/unlocked

パッチ公開日: 2011/3/23

脆弱性公開日: 2011/3/22