デスクトップおよびモバイルOSで見つかったFREAKの危険な脆弱性

FREAK （CVE-2015-0204）と呼ばれる新しい脆弱性が、OpenSSLと呼ばれる有名なオープンソースソフトウェアパッケージで発見されました。 これにより、攻撃者はブラウザが使用する安全なHTTPS接続を侵害できます。 この脆弱性は、OpenSSLおよびApple OS Xを使用しているため、モバイルプラットフォームのGoogle AndroidおよびApple iOSに影響を及ぼしました。MicrosoftSchannelの同様の脆弱性のため、サポートされているすべてのバージョンのMicrosoft Windows（ SA 3046015 ）も脆弱です。







OS XおよびiOS（Safari）のパッチは来週ユーザーが利用できるようになります。これはGoogle Chrome Webブラウザーにも同じことが当てはまります。 Internet Explorerの場合、 ここで説明されている回避策を引き続き使用できます 。 FREAKの脆弱性を使用して、攻撃者はクライアントとサーバー間の信頼できるHTTPSセキュア接続を安全性の低いバージョンに切り替え、トラフィックを解読することができます（いわゆる中間者攻撃）。



脆弱性は、クライアントソフトウェアとサーバーソフトウェアの両方の影響を受けます。 FREAKによって侵害される可能性のあるWebサイトのリストはこちらです。 また、この脆弱性の危険性は、ユーザーの脆弱なWebブラウザーの観点から、攻撃者がHTTPS接続を危険にさらしても、信頼されたままであり、ユーザーにセキュリティ警告が発行されないという事実にあります。