2009年08月05日

SSLトラフィックを傍受する“ヌルターミネーション攻撃”――専門家が報告

SSLトラフィックを傍受する“ヌルターミネーション攻撃”――専門家が報告
ウェブブラウザのセキュリティーホールが報告されていました
既に Firefox 3.5.2 では対応されているようですが
SSL証明書の CN などの解釈で NULL が入っていると
それが文字列の終わりを示すと解釈してしまって
偽の証明書でも本物だと思って受け入れてしまうというものだそうです

man-in-the-middle がこれによって成功してしまうと
暗号化されてると思って送った大切な情報が
盗聴されてしまうことになります

Black HatのNull証明書攻撃(その1?)
こんな素敵な解説がもぉ出ているます
  • こんな証明書を受け入れるブラウザが悪い
  • こんな証明書を出しちゃう認証局が悪い

ブラウザは、Firefox に続いて他のセキュリティーホールを持つブラウザも
更新されるでしょうから早くアップデートしましょう
Firefox と IE 以外のブラウザも、ダメだったのかな??

そもそも、ブラウザにルートが入ってるような認証局が
こういう証明書を出さなければ良い話なのですが
どこか出しちゃったところがあるみたいですね、どこだろう??

ブラウザは、常に最新のものに保ちましょう!
posted by OJH at 23:42| Comment(25) | TrackBack(0) | ニュース | このブログの読者になる | 更新情報をチェックする
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。