【IT】Lenovoの「SuperFish」問題はさらに深刻、大手サイトへの攻撃兆候も #1

1名無しさん@Next2ch:2015/02/27(金) 14:08:29.36 ID:1F7kLNs5

Lenovoのコンシューマー向けノートPCにプリインストールされていたソフトウェア
「SuperFish」に深刻な脆弱性が発覚した問題で、米電子フロンティア財団(EFF)は2月25日
この脆弱性は当初考えられていたよりも重大な影響があり、米GoogleやMicrosoft、Twitterなどの
大手サイトが狙われている痕跡があることが分かったと伝えた。

Superfishの脆弱性では、暗号化されたWebブラウザのHTTPS通信をリモートの攻撃者に読まれたり
Webサイトを偽装されたりする恐れが指摘されていた。

この問題はイスラエル企業のKomodiaが提供する「Komodia Redirector SDK」に起因する。
同SDKは他にも多数のソフトウェアに使われていることが分かっている。
同SDKを使ったアプリケーションでは、Webブラウザの証明書ストアにルートCA証明書がインストールされ
警告を表示させることなく全てのWebトラフィックを傍受することが可能になる。

EFFによれば、新たに発覚した問題は、証明書のSubject Alternative Name(サブジェクトの別名)という項目に関連している。
この項目は、例えば「eff.org」と「www.eff.org」など、異なる複数のドメインを同じ証明書で別名としてカバーするために使われる。

Komodiaの脆弱性を悪用する攻撃者がこの仕組みを利用すれば、標的とするドメインを別名として追加した不正な証明書を作成して
Komodiaがインストールされているシステムに受け入れさせることが可能になる。
Webブラウザでは有効な証明書として認識され、警告は表示されない。


スパムを通報

このレスがスパム・荒らしである場合は以下のボタンをクリックして通報してください。
(同意できない意見などに反対票を投じる機能ではありません)
通報

レスを書き込む

関連スレッド

スレッドタイトルレス
【日韓】 韓国外交部、日本に慰安婦問題めぐる協議要求6
<衛藤首相補佐官>動画サイトで米国批判 靖国問題で8
【国際】 慰安婦問題 「日本に解決要求する」 韓国外相 国連人権委で演説2
【社会】浮気は不治の病、浮気遺伝子が発見 あなたの不倫はDNAの問題かも?8
関西人以外の人も見てね 百田尚樹『殉愛問題』が刑事事件に!?「たかじんメモ」偽造の決定的証拠!4
天国移住問題に乗らなかった俺でも今回ばかりは迷ってる7
【IT】Superfish問題に揺れるLenovoのサイトがハッキング被害 ハッカー集団がアタックか3
2ch専ブラ問題89
【政治】米の「共同責任論」に一斉反発=歴史問題で韓国各紙2