Apple Safari におけるなりすまされた Web サイトの無効な証明書を承認する脆弱性
| Title |
Apple Safari におけるなりすまされた Web サイトの無効な証明書を承認する脆弱性
|
| Summary |
Apple Safari は、DN フィールド内の CN ドメイン名ベースの SSL サーバ証明書を承認する際、subjectAltName:dNSName フィールド内の全てのドメイン名も承認対象と見なすため、なりすまされた Web サイトの無効な証明書をユーザが騙されて承認する脆弱性が存在します。
|
| Possible impacts |
第三者により、なりすまされた Web サイトの無効な証明書をユーザを騙して承認させる可能性があります。 |
| Solution |
ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| Publication Date |
Dec. 28, 2007, midnight |
| Registration Date |
June 26, 2012, 3:54 p.m. |
| Last Update |
June 26, 2012, 3:54 p.m. |
|
CVSS2.0 : 警告
|
| Score |
4.3
|
| Vector |
AV:N/AC:M/Au:N/C:N/I:P/A:N |
Affected System
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 0 |
[2012年06月26日]
掲載 |
Feb. 17, 2018, 10:37 a.m. |
NVD Vulnerability Information
CVE-2007-6592
| Summary |
Apple Safari 2, when a user accepts an SSL server certificate on the basis of the CN domain name in the DN field, regards the certificate as also accepted for all domain names in subjectAltName:dNSName fields, which makes it easier for remote attackers to trick a user into accepting an invalid certificate for a spoofed web site.
|
| Summary |
Apple Safari 2, cuando un usuario acepta un certificado de servidor SSL basándose en el nombre de dominio CN del campo DN, considera el certificado como aceptado también para todos los nombres de dominios en los campos subjectAltName:dNSName, lo cual facilita a los atacantes remotos engañar al usuario para que acepte un certificado inválido para un sitio web falso.
|
| Publication Date |
Dec. 29, 2007, 6:46 a.m. |
| Registration Date |
Jan. 29, 2021, 2:25 p.m. |
| Last Update |
April 23, 2026, 9:35 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:apple:safari:2:*:*:*:*:*:*:* |
|
|
|
|
Related information, measures and tools
Common Vulnerabilities List