HTTPS脆弱性のニュース。
http://journal.mycom.co.jp/news/2011/10/03/010/index.html
詳しく何が問題だったのかあまり書かれていないのでググッてみた。
発生条件など
http://blogs.technet.com/b/jpsecurity/archive/2011/09/27/3455728.aspx
どういった脆弱性か
http://jvn.jp/cert/JVNVU864643/index.html
CBCモードのイメージ(わかりやすい、これいいね!)
http://www.triplefalcon.com/Lexicon/Encryption-Block-Mode-1.htm
記事によるとCBCモードというので「初期化ベクトル (IV) の決定方法に問題がある」ということらしい。
最後のリンクのイメージを見た感じ、1つ前のブロックをくっつけて暗号化していく方法だが、その最初にくっつけるやつが問題、という事かな?
そしてそれをすべり込ませる条件が
- 標的となるユーザーが HTTPS セッションを使用している必要があります。
- 攻撃者が HTTPS トラフィックを解読するには、悪意のあるコードをユーザーのブラウザーセッションに挿入し実行する必要があります。かつ、
- 既存の HTTPS 接続にピギーバック攻撃を仕掛けるには、攻撃者の悪意のあるコードは、HTTPS サーバーと同じ発信元である必要があります。
という事で、これを大量のセッションで仕掛けてくると、そういうことらしい。たぶん。
多分2つめの条件を使って目印を置いていくって感じなのかな?
常にハックのコードを抱き合わせで送って、一緒に暗号化させて挙動を解析してしまうと。
3つめの条件(ピギーバック攻撃)は正規のHTTPSに乗っかって送るのでこう言うのか、へーー。
トラックに車乗っけてるイメージ。
ま、とりあえず実際の攻撃は未確認ということで、早急に対応に走っているブラウザさん達にカンシャ