いますぐパッチを:OpenSSL で発見された 6 件の新しいバグ――そこにはスパイ可能な欠陥が含まれている~Heartbleed を 1 とするなら、今回は 7(The Register) | ScanNetSecurity
2020.09.26(土)

いますぐパッチを:OpenSSL で発見された 6 件の新しいバグ――そこにはスパイ可能な欠陥が含まれている~Heartbleed を 1 とするなら、今回は 7(The Register)

修復されたばかりのバグを悪用する攻撃者に対抗するため、多種多様なサーバや、その他のインターネット接続したシステムをアップデートする必要があると、脆弱性管理会社 Rapid7 の Nicholas J. Percoco は語った。

国際 TheRegister
OpenSSL チームが、その広く利用されている暗号化ライブラリ(OpenSSL)に存在する 6 件のセキュリティ上の脆弱性に対処する修正を推し進めている。

これらのセキュリティホールには、暗号化された通信に盗聴を行うマンインザミドル(MITM)を可能とする欠陥や、リスク下にあるシステムに悪党がマルウェアを投下できる欠陥が含まれている。

DTLS Invalid Fragment(CVE-2014-0195、バージョン 0.9.8、1.0.0、1.0.1 に影響する)は、脆弱なアプリケーション、デバイス、サーバに悪意あるコードを注入する目的で利用される恐れがある。多くの場合、DTLS は TCP ではなく UDP の TLS 暗号化において、ビデオのライブストリームやボイスチャットなどを安全化する目的で用いられるものだ。

しかし、SSL/TLS MITM 脆弱性(CVE-2014-0224、潜在的にはすべてのクライアントと、1.0.1 および 1.0.2-beta1 を実行するサーバに影響する)は、さらに悪質である可能性が高い。OpenSSL のアドバイザリは以下のように説明している:

《ScanNetSecurity》

関連記事

PageTop

特集

アクセスランキング

  1. 日本年金機構情報漏洩事件をMITRE ATT&CKフレームワークでふりかえる

    日本年金機構情報漏洩事件をMITRE ATT&CKフレームワークでふりかえる

  2. 入出金ツールへの不正アクセスで38,026名の個人情報が流出、本人確認書類等の画像データも(サクソバンク証券)

    入出金ツールへの不正アクセスで38,026名の個人情報が流出、本人確認書類等の画像データも(サクソバンク証券)

  3. Emotet感染しなりすましメールを大量送信、注意を呼びかけ(理研香料ホールディングス、理研香料工業)

    Emotet感染しなりすましメールを大量送信、注意を呼びかけ(理研香料ホールディングス、理研香料工業)

  4. 株取引ツールへ不正アクセス、208件の口座がログインされた可能性(岡三オンライン証券)

    株取引ツールへ不正アクセス、208件の口座がログインされた可能性(岡三オンライン証券)

  5. 社内パソコンがウイルス感染、メール送受信履歴に含まれるアドレスへなりすましメールを送付(ライフ)

    社内パソコンがウイルス感染、メール送受信履歴に含まれるアドレスへなりすましメールを送付(ライフ)

  6. 「Emotet」関連相談が急増、パスワード付きZIPファイル添付攻撃も確認(IPA)

    「Emotet」関連相談が急増、パスワード付きZIPファイル添付攻撃も確認(IPA)

  7. 事務局のパソコンが「Emotet」感染、パスワード付きZipファイル添付に注意呼びかけ(日本医師会)

    事務局のパソコンが「Emotet」感染、パスワード付きZipファイル添付に注意呼びかけ(日本医師会)

  8. mijicaカードを悪用し不正送金、被害額は332万2千円に(ゆうちょ銀行)

    mijicaカードを悪用し不正送金、被害額は332万2千円に(ゆうちょ銀行)

  9. 「インターネットトラブル事例集(2020年版)追補版」を公表(総務省)

    「インターネットトラブル事例集(2020年版)追補版」を公表(総務省)

  10. QRコード決済での不正な銀行口座紐づけ防止策に関するガイドラインを策定(経済産業省)

    QRコード決済での不正な銀行口座紐づけ防止策に関するガイドラインを策定(経済産業省)

ランキングをもっと見る