?FREAKもうこれ以上:Apple、Ciscoが最新のSSLバグを解決

アップルとシスコは、暗号化された通信を脅かす最新のバグであるFREAKの修正プログラムを公開しました。シスコはまた、Googleが今週発表した「rowhammer」DRAMのバグが、その製品に影響を与えるかどうかを調べている。

セキュリティーアラート

Appleが今週のWatch-ready iOSアップデートのためにAppleが発表したFREAK修正に加えて、Appleは現在、世界中のMac OS XとApple TVデバイスでFREAKの修正を発表している。

広く報告されているバグは、NSAが弱い暗号化製品を輸出して米国外のWebユーザーに対して監視を行うことを容​​易にするための、1990年代の合法的な取り組みからの二日酔いです。

GoogleのProject Zeroチームは、コンピューターベンダーにハードウェアの欠陥に関する詳細情報を喚起させるために、深刻なDRAMバグを発見しました。

このバグは、1月にOpenSSL Projectが目立たないセキュリティ勧告ではじめて明らかになった。今週、フランスの研究者とマイクロソフトが大規模な画像を公開し、業界全体の問題であることを強調した。

FREAKのバグは、OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10.2に影響します。修正プログラムは、セキュリティ更新プログラム2015-002で利用できます。同じ欠陥に対応するためのアップデートは、Apple TV version 7.1で利用可能です。

バグのために、中間者の攻撃者、つまり「特権的なネットワークの位置」を持つ人物が、SSL(Secure Sockets Layer)やTLS(Transport Layer Security)で保護されたHTTPS接続を傍受する可能性があると、Appleは説明している。 Safariは、TLSの暗号化ライブラリ実装であるSecure Transportを使用するWebクライアントであるため、この問題は影響を受けました。

「安全なトランスポートは、通常、フルストレングスのRSA暗号スイートを使用する接続で、エクスポート強度のRSA暗号スイートでのみ使用される短い短期間のRSAキーを受け入れました。この問題はFREAKとも呼ばれ、エクスポート強度のRSA暗号をサポートするサーバー一時的なRSA鍵のサポートを取り除くことで対処された」と述べた。

アップル、iOS 8.2のアップデートでFREAKのセキュリティ上の欠陥を修正FREAKの脆弱性:今どのように自分自身を守るか、MicrosoftはWindowsがFREAK SSLの欠陥に脆弱であることを明らかにし、AppleとGoogleはFREAK SSL欠陥

マイクロソフトは昨日TLSの実装であるSchannelのFREAK修正をリリースしたが、GoogleはデスクトップとAndroidでChromeの修正をリリースした。

シスコは昨日、OpenSSLを使用している数十もの製品がFREAKやOpenSSLのその他の7つの欠陥の影響を受けることを確認しました。同社は、Mac、ルータ、セキュリティデバイス、およびTelePresenceユニット用のJabberクライアントなど、影響を受ける可能性があるさらに多くの製品を検査している。脆弱性が確認された製品とモデルの完全なリストは、ここで見つけることができます。

シスコはまた、GoogleのProject Zeroセキュリティ研究者が今週の詳細を明らかにしたRowhammer DRAM脆弱性の製品への影響を調べている。 Googleの研究者らは、いくつかのx86ノートパソコンでこのバグが悪用されていることを示し、欠陥を修正するための努力について、ハードウェアメーカーにより多くの情報を共有するよう求めました。

シスコでは、ローハマーに脆弱ではない製品もあると確認していますが、特権のないユーザーがバイナリをロードして実行できる製品を調査中です。これらには、いくつかのユニファイドコンピューティングサーバと、Nexus 9000および3000シリーズデバイスが含まれます。

米連邦捜査局(FBI)はCrackasのメンバーを逮捕し、米国政府の役人をハッキングした姿勢を示している;セキュリティ、Wordpressはユーザーに重大なセキュリティホールを修正するように今更新するよう強く促す;セキュリティ、ホワイトハウスは連邦最高情報セキュリティ責任者政府の監視による緊急対応

次の各製品には、ECCメモリモジュールを含むRow Hammerイベントに対するハードウェアの保護が多数含まれていますが、最初の調査レポートによれば、影響を受けるシスコ製品はないと考えられる理由はありません。確認するための製品」と述べています。

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン