SSLという基盤的技術の脆弱性は恐いですね。
SSL/TLSの脆弱性「FREAK」の実態が明らかに(マイナビニュース)
[2015/03/05]
OpenSSLは、昨年発見された深刻な脆弱性「Heartbleed」に続き、2015年1月にも脆弱性「FREAK」が発見されたが、この脆弱性の危険性が明らかになったことを、The Washington Postなどの複数の米国メディアが伝えている。セキュリティ関連のニュースサイト「Dark Reading」に掲載された記事「FREAK Out: Yet Another New SSL/TLS Bug Found」が簡潔に内容を伝えている。「FREAK」は、OpenSSL 1.0.1kおよびこれよりも前のバージョンやAppleのSafariなどに存在していることが確認されているという。
(後略)
出典:マイナビニュース
SSLはいまではショッピングサイトやインターネットバンキングなどのお金や個人情報を取り扱う際に必ず使用されている技術です。
それに脆弱性があると言うことは、影響範囲はとても大きなものとなりますね。
今回の脆弱性は、「簡易な暗号を使用するよう指定する機能が残されている」というもののようで、後方互換性を確保する点から残していたんじゃないかなと想像します。
その意味では、後方互換性を断ち切るようにすれば手当てするのは簡単だろうと思います。
ただ、問題は影響範囲が広いために改修するのにどれくらいの時間がかかるのだろうかと言うことですね。
早急に改修が進むことを祈りたいと思います。
それでは、今回はこのへんで。
0 件のコメント:
コメントを投稿