SSLに新たな脆弱性、グーグルが発見

SSLに新たな脆弱性、グーグルが発見 1

世界を震撼させた「Heartbleet」ほどの脅威ではないものの、SSLに新たな脆弱性が発見されました。

この脆弱性は「POODLE」と呼ばれ、SSL 3.0で発見されました。グーグルのOnline Security Blogにその概要が掲載されています。また詳細を含むPDFが公開されています。この脆弱性によって、クッキーやパスワードが盗み取られる危険性があるそうです。

脆弱性が発見されたバージョンは古く、15年前のものです。しかし、ほとんどのブラウザはまだこの古いバージョンをサポートしています。さらに問題なのは、HTTPSサーバのバグのため、ブラウザがサーバとの接続が失敗したときに、SSL 3.0を含む古いバージョンで再接続を行ってしまうのです。

グーグルは、この問題に対処するための方法を公開しています。しかし、Heartbleedのときと同じように、影響があるすべてのサービス、ソフトウェアで対策を取るのは非常に難しいでしょう。

今回見つかった脆弱性を利用した攻撃はまだ確認されていませんが、できる限り早い対応をお願いしたいですね。

source: Google via Yahoo

Alissa Walker - Gizmodo US[原文

(谷垣友喜)