AppleとGoogleがFREAK SSLの脆弱性に関するパッチを準備している

AppleとGoogleは、両社のモバイルブラウザで使用されているWeb暗号化プロトコルで新たに明らかになったバグのパッチを準備中である。

昨日公開されたFREAKのバグは、HTTPSウェブサイトとブラウザの間のトラフィックを暗号化するために使用されるSSL(Secure Sockets Layer)とTLS(Transport Layer Security)プロトコルに影響を及ぼす一連の脆弱性の最新のものです。

中間者の攻撃者は、影響を受けるブラウザとWebサイトとの間の接続を強制的に「強力な」RSA暗号化から「エクスポートグレード」RSAという弱いバージョンにダウングレードすることができます。その弱いバージョンは、強力な暗号を持つ米国の製品から輸出することを違法にした1990年代の法律の副産物です。

多くの取締役会は、主にセキュリティ技術者にITセキュリティを委ねるのはなぜですか?また、技術者は、取締役会に、利害関係者の情報を保護するための犠牲を払うことを納得させることができません。私たちは、ITセキュリティガバナンスのギャップを埋めるためのガイダンスを提供しています。

Princetonの情報技術政策センターの責任者、Ed Felten氏によると、米国安全保障庁(US National Security Agency)を含む数千ものサイトが脆弱である。

フェルテン氏は、昨日、彼のブログに「暗号ポリシーの決定の結果について重要な教訓があります。すなわち、輸出可能な暗号を弱めるための90年代のNSAの行動は、自らのサイトのセキュリティを20年後に悪化させました。

このバグは、SSL / TLSサーバーとクライアント、特にバージョン4.4のKitKatより前のすべてのAndroid搭載端末に付属しているAndroidブラウザなどのOpenSSLブラウザに影響を及ぼすと、この欠陥を発見したパリのINRIAの研究者によると、デフォルトでChromeとともに出荷されているKitKatは現在、すべてのAndroid搭載端末の約40%を占めていますが、それでもAndroid搭載端末の大半は影響を受けています。

デスクトップシステムやモバイルデバイス上のAppleのSafariブラウザも影響を受けます。ただし、Chromeは影響を受けず、Internet ExplorerやFirefoxも影響を受けません。

FREAK:別の深刻なSSLセキュリティホール、Googleは時代遅れだが広く使われているSSLプロトコルの大きな欠陥を明らかにしている。

Reutersによると、Appleはこのバグのパッチを開発しており、来週にそれらをリリースするだろう。パッチのタイミングを確認するように頼まれ、アップルはウェブサイトをワシントンポストの記事に誘導した。

Androidユーザー用のパッチは、到着するまでに時間がかかる可能性があります。 Googleは、ロイター通信に対し、携帯電話メーカーや通信事業者などのAndroidパートナーに修正を提供したと述べたが、パートナーがエンドユーザーにパッチを適用するかどうかは不明だ。

Googleは、公開時にコメントのリクエストに応じなかった。

アップデート:FREAKattack.comのクライアントチェッカーでChromeの最新バージョンをテストしたところ、Chrome for Android(バージョン40.0.2214.109)とChrome for Mac OS X(40.0.2214.115)はエクスポートを提供していなくても脆弱であることが示されています-grade RSA。

ホワイトハウスが連邦最高情報セキュリティ責任者を任命、セキュリティ、国防総省によるサイバー緊急対応の批判、セキュリティ、HTTP接続を安全でないと表示するChrome、セキュリティ、Hyperledgerプロジェクトがギャングバスターのように成長している

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン

ChromeがHTTP接続に非セキュアとしてラベルを付けるようにする

Hyperledgerプロジェクトはギャングバスターのように成長しています