【IT】SSL/TLS脆弱性「FREAK」--管理者とユーザーの当面の対策は@next2ch

1 ：名無しさん＠Next2ch：2015/03/11(水) 20:02:53.28 ID:???

何と悲惨なことだ。
SecureSocketLayer（SSL）とTransportLayerSecurity（TLS）のセキュリティホールである
「FREAK」が存在するのは、AppleのSSL実装や古いOpenSSLを使用するプログラムだけではない。
Microsoftの「SecureChannel」（「SChannel」）スタックにも存在することが明らかになった。

セキュリティに関する約20年前の誤った決定が原因で
FREAKを悪用すれば中間者攻撃の実行が可能になる。
Avectoのコンサルタンシー＆テクノロジサービス担当エグゼクティブバイスプレジデント（EVP）
を務めるAndrewAvanessian氏は、電子メールで筆者に次のように語った。
「FREAK攻撃は、セキュリティの問題がどれほど遠い過去から尾を引いているかを示す明白な証拠だ。
新しいテクノロジが登場し、暗号技術が強固になっても
多くの場合、単に新しいソリューションが付け足されるだけで
古い脆弱なテクノロジが取り除かれることはない。
そのため、構築しようとしているセキュリティモデルが事実上、弱体化してしまう」

ユーザーにできること

自宅でセキュリティ対策を実施している人のために紹介しておくと
FREAKを突かれて攻撃される可能性のある現行プログラムの最新リストには
「WindowsVista」「Windows7」「Windows8」「Windows8.1」
「WindowsServer2003」にインストールされた「InternetExplorer」（IE）など
SSL/TLSを使うMicrosoftのすべてのプログラムが含まれる。
Microsoftは言及していないが、「WindowsXP」など
広範なサポートが終了しているOSも影響を受けると考えていいだろう。

「WindowsServer2008」と「WindowsServer2012」も
サーバではなくデスクトップとして使用する場合は、攻撃を受けるおそれがある。
サーバとして使用する場合は、FREAKの弱点である
古い輸出用のSSL暗号がサポートされないため、デフォルト設定で安全だ。
ただし、Server2003はこれらの脆弱なSSL暗号鍵をサポートしており、それを無効にする方法はない。

さらに、この年季が入ったFREAKセキュリティホールを最初に発見したmiTLSチームによると
以下のSSL/TLSクライアントライブラリが影響を受けるという。

2 ：名無しさん＠Next2ch：2015/03/11(水) 20:03:52.84 ID:???

OpenSSL（CVE-2015-0204）：1.0.1kより前のバージョン。
BoringSSL：2014年11月10日より前のバージョン。
LibReSSL：2.1.2より前のバージョン。
SecureTransport：影響を受ける。現在、修正をテスト中。
SChannel：影響を受ける。現在、修正をテスト中。
これらのTLSライブラリを使用するウェブブラウザは攻撃を受けやすい。以下のブラウザが含まれる。

各種プラットフォーム向け「GoogleChrome」の41より前のバージョンは影響を受ける。
InternetExplorer。パッチの公開を待つか、「Firefox」や「GoogleChrome41」に乗り換えよう。
あるいは、下で詳しく説明しているように
「GroupPolicyObjectEditor（グループポリシーオブジェクトエディター）」を使って
RSA鍵交換を無効にする必要がある。
「Safari」は影響を受ける。パッチの公開を待つか、FirefoxやChrome41に乗り換えよう。
「AndroidBrowser」は影響を受ける。Chrome41に乗り換えよう。
「BlackberryBrowser」は影響を受ける。パッチの公開を待つ必要がある。
「Opera」の「Mac」版と「Android」版は影響を受ける。（安定版が登場したら）
「Opera28」にアップデートするか、Chrome41に乗り換えよう。
自分が使っているクライアントシステムが影響を受けるかどうかを確認するには
「FREAKAttackClientCheck」を実行するといい。

AppleとGoogleは修正をリリースすると即座に発表したが、悪い知らせもある。
GoogleがAndroidBrowser向けに修正をリリースしても
ユーザーは電話会社やデバイスOEMが自分のスマートフォンやタブレット向けにパッチを提供するまで待つ必要がある。

そのため、今も多くのプログラムが攻撃の危険にさらされている。それらの問題の修復に取りかかろう。

（全文はリンク先で）

関連スレ
http://next2ch.net/newsplus/1426067201
http://next2ch.net/newsplus/1426045287

以下ソース
http://japan.zdnet.com/article/35061501/

3 ：名無しさん＠Next2ch：2015/03/12(木) 03:46:03.98 ID:???

日本のキャリアはAndroidのアップデートを提供しようともしないのに、windows xpの問題ほど騒がれない

このスレッドは過去ログです。