マイクロソフトは27日、SSL/TLSの脆弱性に関するセキュリティアドバイザリを公開した。
この問題は、SSL 3.0およびTLS 1.0に存在する脆弱性について、新たな攻撃方法が研究者によって公開されたもの。脆弱性が悪用された場合、暗号化されたSSL/TLSトラフィックが解読される可能性がある。脆弱性はプロトコル自体に存在するもので、Internet Explorerなどマイクロソフト製品だけでなく、SSL 3.0/TLS 1.0を実装しているほとんどのソフトウェアベンダーがこの脆弱性の影響を受ける。
マイクロソフトでは、この攻撃手法ではブラウザーが主要な攻撃経路となり、攻撃が成功するためには数百ものHTTPSリクエストを作成する必要があると説明。回避策としては、この脆弱性が修正されているTLS 1.1またはTLS 1.2を利用する方法や、脆弱性の影響を受けないRC4アルゴリズムを優先して通信する方法などを挙げている。
引用元
Internet watch
internet.watch.impress.co.jp/docs/news/20110927_479814.html
状況
Firefox 自体はこの攻撃を受けません。Firefox は確かに TLS 1.0 (この脆弱性を含んだ TLS のバージョン) を使用してはいますが、攻撃の技術的な詳細 (英語) によれば、ブラウザに由来する通信の内容を完全に制御する方法が必要であり、Firefox はこれを許可していません。しかしながら、この攻撃を実現する Java プラグインの脆弱性が攻撃者によって発見されています。Mozilla では、念のためアドオンマネージャで Java プラグインを無効化することをユーザの皆さんに推奨します。
1、 [ツール] メニューもしくは [Firefox] ボタンから [アドオン] を選択します。
2, 新しいタブで開いたアドオンマネージャの中にある [プラグイン] パネルを選択します。
3、 Java プラグインを選択して [無効化] ボタンをクリックします。Mozilla では現在、すべての Firefox ユーザの Java プラグインを強制的に無効化できないか検討しており、対応を行うことが決まったときはこの記事に追記します。
TLS 暗号化通信に対する攻撃の Firefox への影響
http://mozilla.jp/blog/entry/7289/
