【セキュリティ】TLS/SSLの脆弱性を悪用する新たな攻撃方法、MSがアドバイザリを公開 （11/09/27）

1 ：11/09/27 〜 最終レス ：11/09/30

　マイクロソフトは27日、SSL/TLSの脆弱性に関するセキュリティアドバイザリを公開した。
　この問題は、SSL 3.0およびTLS 1.0に存在する脆弱性について、新たな攻撃方法が研究者によって公開されたもの。
脆弱性が悪用された場合、暗号化されたSSL/TLSトラフィックが解読される可能性がある。脆弱性はプロトコル自体に
存在するもので、Internet Explorerなどマイクロソフト製品だけでなく、SSL 3.0/TLS 1.0を実装しているほとんどの
ソフトウェアベンダーがこの脆弱性の影響を受ける。
　マイクロソフトでは、この攻撃手法ではブラウザーが主要な攻撃経路となり、攻撃が成功するためには数百もの
HTTPSリクエストを作成する必要があると説明。回避策としては、この脆弱性が修正されているTLS 1.1または
TLS 1.2を利用する方法や、脆弱性の影響を受けないRC4アルゴリズムを優先して通信する方法などを挙げている。
http://internet.watch.impress.co.jp/docs/news/20110927_479814.html

2 ：

Windowsやばすぎ
SSLの穴の恐ろしさ過小評価しすぎ

3 ：

ゼロデイアタックにも対応が出来るまでコメントしない会社なのに、
何故、急にこんな事を？

4 ：

>SSL 3.0/TLS 1.0を実装しているほとんどの ソフトウェアベンダーがこの脆弱性の影響を受ける。 
MSだけパッチ作っても意味無いからじゃね？

5 ：

というかこの件むっちゃヤバい事態なのにみんな騒がないね
クラウド連呼してる人は興味もつべきだろ

6 ：

素人が騒いだところでどうしようもないだろ

7 ：

マイクロソフトは仕事をしてるんだろうか
心配になる

8 ：

IEとIISはTLS 1.1/1.2に対応済みらしい
マイクロソフト(とOpera)以外が仕事してない
ttp://isc.sans.edu/diary/TLS+1+2+-+Look+before+you+Leap+/11629
IE9 TLS 1.0, 1.1, 1.2 all supported via Schannel
IE8 TLS 1.0 supported by default, 1.1 and 1.2 can be configured
Opera - 10.x supports TLS 1.0, 1.1, 1.2
Mozilla/ Firefox - TLS 1.0 only
Chrome - TLS 1.0 only
Safari - TLS 1.0
IIS (recent versions) again, all TLS versions supported
Apache with OpenSSL - 1.0 only
Apache with GNUTLS - 1.2 is supported.

9 ：

>脆弱性の影響を受けないRC4アルゴリズムを優先して通信する方法
LinuxのFirefox6で https://accounts.google.com/ にアクセスしてページの情報見たらRC4だったんだけど、大丈夫って事だよな？
技術情報
接続が暗号化されています: RC4、鍵長 128bit (高強度の暗号化)
Certificate:
Version 3
Certificate Signature Algorithm:
PKCS #1 SHA-1 With RSA Encryption

10 ：

>>8
そういうオチか

11 ：

opensslがね……。
言っても理解できないか。

12 ：

nssとopensslの関係ってどうなってんだ
firefoxはopensslとは無関係でnssだけ使うのか？

13 ：

>>8
調べがちとあまい
Firefox 自体は影響を受けない仕組み
※アドオンは影響を受ける
Mizilla Japan Blog 2011/09/28
http://mozilla.jp/blog/

14 ：

SeaMonkeyはミジンコだけど。ミジラは無いだろミジラは（笑）
情報 thx!

15 ：

ミジラｗ
なんかかわいい響き

16 ：

>>13
アドオンが影響を受けるとか勝手に読み替えないでもらえるかな？
一部のプラグイン（今のところjavaのみ）が影響を受けるんであって、
アドオンが影響を受けるなんてどこにも書いていない。

17 ：

単に言葉足らずだったんだろ。
そんなカリカリせんでも

18 ：

言葉足らずじゃなくて単に間違えてる

19 ：

>>13 = >>17

20 ：

自演か。

21 ：

>>13 = >>19
これが自演
他人になすり付けるなよ

22 ：11/09/30

のなすり付け合いｗ