2014/05/09

EMET 4.0/4.1 向け Fix It、4.1 Update 1 には不要

@IT の記事「エメット(EMET)、していますか?」で指摘した証明書信頼のピン規則(Pinning Rules)の有効期限切れ問題を修正する Microsoft Fix It が公開されていました。英語の方で確認すると、公開日は 4 月 29 日 (Article ID: 2961016 - Last Review: April 29, 2014 - Revision: 1.0) で、EMET 4.1 Update 1 公開日の前日になっています。

EMET 証明書信頼の既定のルールの更新プログラムについて
[URL] http://support.microsoft.com/kb/2961016/ja (英語の方 http://support.microsoft.com/kb/2961016/en-us)

この Fix It は、EMET 4.0 および EMET 4.1 の証明書信頼の既定のピン規則の有効期限をすべて 2015/08/01 に書き換えるもの。この Fix It は EMET 4.1 Update 1 にも適用できちゃいますが、EMET 4.1 Update 1 では有効期限が最初から 2015/08/01 になっているので Fix It する意味はまったくありません。EMET 4.1 Update 1 には、バグ修正も含まれるそうなので、Fix It よりも EMET 4.1 Update 1 に入れ替えたほうが良いと思います。

この Fix It は、HKLM\SOFTWARE\Microsoft\_settings_\Pinning\PinRules\の下にある既定のピン規則の Expiration 値を直接 08/01/2015 13:00:00 に書き換えているようです。カスタム規則の有効期限はそのままです。EMET のインストール先にある Deployment\Protection Profiles\CertTrust.xml はそのままなので、CertTrust.xml をインポートすると元に戻っちゃうのでご注意。ちなみに、EMET 4.1 Update 1 には新しい (有効期限 2015/08/01 の) CertTrust.xml が入っています。

関連する投稿:
EMET 4.1 Update 1 提供開始 (2014/05/01)

0 件のコメント: