【IT】アップル、シスコなど各社、「FREAK」脆弱性に相次いで対応@next2ch

Apple、Microsoft、Google、CiscoSystemsの各社は
インターネットの暗号化通信を根底から揺るがす恐れがあった脆弱性
「FREAK」を修正するパッチやアップデートを相次いでリリースした。

FREAKは、輸出用の製品に低強度の暗号化方式を搭載するという
1990年代に施行された輸出規制の遺物。
この輸出規制は米国外の通信監視を容易にしようと画策した
米国家安全保障局（NSA）の後押しで施行されたものだった。
FREAKが初めて世間に姿を現したのは
OpenSSLProjectが2015年1月に公表したセキュリティアドバイザリの中だったが

世界が事態の重大性を認識したのはフランス国立情報学自動制御研究所（INRIA）と
MicrosoftResearchが3月3日に警告を発してからだった。

これを受けAppleはFREAK脆弱性への対応を含む「SecurityUpdate2015-002」を
MacOSXMountainLion10.8.5
OSXMavericks10.9.5
OSXYosemite10.10.2向けに公開した。

また、iOSの脆弱性は「iOS8.2」で
AppleTVの脆弱性は「AppleTV7.1」でそれぞれ修正される。

Microsoftは米国時間3月10日に
同社のTLS実装である「Schannel」の脆弱性を修正するパッチをリリースした。
GoogleもデスクトップとAndroidのChrome向けに修正をリリースした。

CiscoはOpenSSLを使用する多くの自社製品が、FREAKを含む
OpenSSLに発見された複数の脆弱性の影響を受けることを認めた。

同社では脆弱性を修正するパッチをリリースしたが
現在も幾つかの製品に対する脆弱性の影響を調査中で、対象には「Jabber」「TelePresence」
各種ルータ製品、各種セキュリティ製品などが含まれる。

なお、CiscoはGoogleProjectZeroが3月9日に公表した
DRAMの脆弱性「rowhammer」についても製品への影響を調査中である。
Ciscoによると、調査対象の各製品にはECCメモリモジュールを始めとする
各種のハードウェア的な保護対策が施されているため
現時点では脆弱性の影響は確認されていないが、調査は継続して行っていく予定だという。

以下ソース
http://japan.zdnet.com/article/35061678/

SSLの安全神話が揺らぐ事態に