The primary goal of the TLS protocol is to provide privacy and data integrity between two communicating applications. |
Thai Duong氏およびJuliano Rizzo氏が発表したSSL/TLSのプロトコルに関する脆弱性が話題になっている。SSL 3.0およびTSL 1.0のプロトコルに情報漏洩の脆弱性があるというもので、特にHTTPS通信が実施されている場合、特定の条件下で通信内容が第3者によって閲覧可能になる危険性があるという。この発表に関して各ブラウザベンダが対応を発表している。
Microsoftはこの脆弱性をセキュリティアドバイザリ2588513として発表。攻撃のシナリオを考える限り、危険度の高いものではないと判断した上で、回避策などを紹介している。また、回避用ツールの配布をTechNet Blogsにて開始している。
Mozillaもこの問題を認識しており、その上で、この脆弱性はFirefoxそのものには影響を与えないと説明している。ただし、Javaプラグイン経由で攻撃可能になるケースがあるため、Javaプラグインを無効にすることを推奨している。
Opera Softwareも同問題を認識しており、すでにOpera 11.51に対応を取り込んでいることを発表している。Googleも認識済みで、Chromeを含めどのような対策を取るのか正式発表が近いうちに実施されるのではないかとみられる。
