Leírás

2014. novemberében a Search-Lab Kft egy olyan biztonsági hibát fedezett fel az e-akta formátum legnépszerűbb implementációiban, mely lehetővé tette az elektronikus aláírással védett tartalom manipulációját anélkül, hogy az aláírás-ellenőrzés észlelte volna a módosítást.

A hiba kihasználásával a „klasszikus” papíralapú okirat hamisítások elektronikus verziója valósítható meg. Egy szemléletes példa: egy rosszindulatú támadó a cégbírósági bejegyző végzésben megemelhette a törzstőke összegét úgy, hogy a számlanyitáskor a banki ellenőrzés az iratot kibocsátó cégbíró aláírását továbbra is hitelesnek találta.
Az informatikai biztonság szakmán belül a hiba kategóriáját tekintve XML aláírás eltérítésnek (XML Signature Wrapping) minősül, ami azt jelenti, hogy az aláírást ellenőrző szoftver a verifikációt nem ugyanazokra az adatokra végzi el, mint ami a felhasználó számára megjelenik. A vizsgálatot a Search-Lab Kft a két legnagyobb gyártó termékében, a Microsec e-Szignó és a Netlock MOKKA alkalmazásában vizsgálta meg. A hiba mindkettő szoftverben jelen volt, egészen a decemberben megjelent frissítésekig.

A hibához rendelt CVE azonosítók a következőek

Microsec e-Szigno: CVE-2015-3931
Netlock Mokka: CVE-2015-3932

A javítást már tartalmazó szoftverek

Microsec e-Szignó, 3.2.7.12 vagy magasabb
Netlock MOKKA, 2.7.8.1204 vagy magasabb

Letöltés

Amennyiben Ön e-akta elfogadóhely és kétsége merült fel a befogadott e-akták hitelességét illetően, úgy letöltheti a kimondottan erre a célre kifejlesztett szoftverünket az alábbi űrlap kitöltése után.