JVNDB-2005-000756

鶴亀メールにおける S/MIME の署名検証に脆弱性

鶴亀メールにおけるS/MIMEの署名検証に以下の脆弱性が確認されています。

- S/MIMEの署名検証で証明書パスが検証されない。
- S/MIMEの署名検証で証明書の有効期限が検証されない。

※「鶴亀メール」は、2005/08/10 より ソフトウェア名を「秀丸メール」と名称変更しました。

本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCがベンダおよびCERT/CCとの調整を行いました。
報告者: 高木浩光氏

有限会社サイトー企画

• 秀丸メール v4.00 未満

自己署名証明書によって生成できる任意のメールアドレスを詐称する証明書でS/MIME署名されたメールを受信しても、受信者は詐称メールであることに気づかない可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

有限会社サイトー企画

• 秀まるおのホームページ : 秀丸メール
• 秀丸メールの改版履歴 : V3.71 -> V4.00
• 秀丸メールの特記事項 : S/MIME電子署名の検証について

1. JVN : JVN#E59B594B

• [2007年04月01日]
    掲載
  [2007年06月05日]
    CVSSによる深刻度: N/A から[IPA値]に更新しました。