先日の「Critical Patch Update」で修正された「Java」の脆弱性「CVE-2022-21449」は、悪用された場合の影響が大きいようだ。
ECDSA(楕円曲線デジタル署名アルゴリズム)の実装に欠陥があり、不正なデジタル署名の検証が誤って成功してしまう。
ForgeRock社のセキュリティ研究家は、SFテレビドラマ『ドクター・フー』(Doctor Who)に登場する架空の道具「サイキックペーパー」(望むままの内容を表示できる白紙。
フリーパスの身分証明書として利用できる)になぞらえて、その危険性を指摘している。
それによると、この脆弱性は「Java 15」でEC(楕円曲線)コードをC++言語からJava言語に書き換える際に混入したという。
このコード書き換えはメモリの安全性と保守性を向上させる目的で行われたが、ECDSA署名を構成する2つの値(r、s)のいずれかがゼロであるケースをチェックする処理が抜けていた。
そのため、検証をパスできる不正な署名を作成できてしまう。
Oracleはこの脆弱性の「CVSS v3」基本値を「7.5」と評価しているが、
ECDSAはデジタルコンテンツに署名に幅広く利用されているため、その影響を計るのは難しい。ForgeRock社による評価は「10.0」だ。
「Java」に署名検証がフリーパスになってしまう危険な脆弱性 〜影響は計り知れず
https://forest.watch.impress.co.jp/docs/news/1404535.html
