UNITED STATES COMPUTER EMERGENCY READINESS TEAM

US-CERTは3月6日(米国時間)、「FREAK SSL/TLS Vulnerability」において、、複数のSSL/TLSの実装系にFREAK (Factoring Attack on RSA-EXPORT Keys CVE-2015-0204)と呼ばれる脆弱性が存在すると伝えた。この脆弱性を悪用されると、SSL/TLS通信の内容を傍受される危険性がある。

US-CERTは記事の中で、複数のベンダがFREAKに対応するアップデート版の提供を開始したと説明。GoogleはMac OS X向けにChromeのアップデート版とAndroid OSのアップデート版の提供を開始し、MicrosoftはWindowsにおける回避策を盛り込んだセキュリティアドバイザリを発行している。

US-CERTはユーザや管理者に対して「Vulnerability Note VU#243585|SSL/TLS implementations accept export-grade RSA keys (FREAK attack)」に目を通して同脆弱性に関する情報を得るとともに、影響を受けるソフトウェアを対象としたアップデート版の提供が始まった場合は適用することを推奨している。