アカウント名:
パスワード:
証明書が期限切れだったのに、それを使ったソフト(Opera)がインストールされたってことなのかな?証明書の意味なしてないけど、どういう意味なんだろう。期限切れ警告は出るけど無視してインストールしちゃう人がでたかもということかな。
Virustotalにある検体だと、このコードサイン証明書のValid-toが12:59 AM 1/29/2013になってるんですよね
(信頼できるかどうかは別として)PEヘッダのCompilation timestampも2013-06-19 03:06:58ってなってることですしここはきちんと警告を出してほしいところ……
https://www.virustotal.com/en/file/8ecbca0de44c82d1c7ffced288aa68c1247... [virustotal.com]
盗まれた証明書の期限が 1/29/2013 だそうなので、それより前に、不正コードに署名していないと、攻撃は成功しないですよね?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
期限切れだったのにインストールされた? (スコア:0)
証明書が期限切れだったのに、それを使ったソフト(Opera)がインストールされたってことなのかな?
証明書の意味なしてないけど、どういう意味なんだろう。
期限切れ警告は出るけど無視してインストールしちゃう人がでたかもということかな。
Re:期限切れだったのにインストールされた? (スコア:2)
・署名した時点で証明書が有効期間内であり、
かつ、
・署名当時のタイムスタンプ・サーバーの署名が付いていれば、
特に警告の出ることはなく、正しい署名として検証されます。
iida
Re: (スコア:0)
Virustotalにある検体だと、このコードサイン証明書のValid-toが
12:59 AM 1/29/2013になってるんですよね
(信頼できるかどうかは別として)PEヘッダのCompilation timestampも
2013-06-19 03:06:58ってなってることですし
ここはきちんと警告を出してほしいところ……
https://www.virustotal.com/en/file/8ecbca0de44c82d1c7ffced288aa68c1247... [virustotal.com]
Re: (スコア:0)
盗まれた証明書の期限が 1/29/2013 だそうなので、
それより前に、不正コードに署名していないと、攻撃は成功しないですよね?
Re:期限切れだったのにインストールされた? (スコア:1)
コードを作る前にはコード署名のしようがないが、作ってタイムスタンプ署名さえあれば、コード署名自体は物理的にはいつでもよい。なぜなら攻撃者が署名用データを作ろうとするマシンの時計は、攻撃者が自分で勝手に変えられるだろうから。
マシンの時計だけテキトーに変えて、ごくふつうの署名用ソフトをしれっと使うだけでは、タイムスタンプ署名の時刻と現在時刻の差があるので、うまくいかないかもしれない (というか、うまくいかぬように署名用ソフトを実装してもらいたいものだ) ので、その場合署名用ソフトは自作することになるかも。
タイムスタンプをつけないのなら――でもこの場合は満了したら警告が出るはずだが――コード署名と同じでなんとでもなる。
iida
Re:期限切れだったのにインストールされた? (スコア:1)
その上で、証明書の期限が切れる程、長期にわたってアップデートプロセスが走らないような運用のユーザが居るかも知れないから、アップデータ内で期限は確認していなかったとか。流出さえさせなければ期限を無視して運用しても危険はほぼありませんし。
と、言いつつ、一方で、期限が切れた証明書だから、と普段使いの証明書よりも管理が甘かった、とかのミスですかね。