OpenSSL チームが、その広く利用されている暗号化ライブラリ(OpenSSL)に存在する 6 件のセキュリティ上の脆弱性に対処する修正を推し進めている。
これらのセキュリティホールには、暗号化された通信に盗聴を行うマンインザミドル(MITM)を可能とする欠陥や、リスク下にあるシステムに悪党がマルウェアを投下できる欠陥が含まれている。
DTLS Invalid Fragment(CVE-2014-0195、バージョン 0.9.8、1.0.0、1.0.1 に影響する)は、脆弱なアプリケーション、デバイス、サーバに悪意あるコードを注入する目的で利用される恐れがある。多くの場合、DTLS は TCP ではなく UDP の TLS 暗号化において、ビデオのライブストリームやボイスチャットなどを安全化する目的で用いられるものだ。
しかし、SSL/TLS MITM 脆弱性(CVE-2014-0224、潜在的にはすべてのクライアントと、1.0.1 および 1.0.2-beta1 を実行するサーバに影響する)は、さらに悪質である可能性が高い。OpenSSL のアドバイザリは以下のように説明している:
これらのセキュリティホールには、暗号化された通信に盗聴を行うマンインザミドル(MITM)を可能とする欠陥や、リスク下にあるシステムに悪党がマルウェアを投下できる欠陥が含まれている。
DTLS Invalid Fragment(CVE-2014-0195、バージョン 0.9.8、1.0.0、1.0.1 に影響する)は、脆弱なアプリケーション、デバイス、サーバに悪意あるコードを注入する目的で利用される恐れがある。多くの場合、DTLS は TCP ではなく UDP の TLS 暗号化において、ビデオのライブストリームやボイスチャットなどを安全化する目的で用いられるものだ。
しかし、SSL/TLS MITM 脆弱性(CVE-2014-0224、潜在的にはすべてのクライアントと、1.0.1 および 1.0.2-beta1 を実行するサーバに影響する)は、さらに悪質である可能性が高い。OpenSSL のアドバイザリは以下のように説明している:
