Microsoftのセキュリティ研究者が、暗号の仕組みを壊すことなくHTTPSのエンド・ツー・エンドの安全性の保証を破る方法を発見した。
今年まとめられた研究プロジェクトの中で、Microsoft Researchの研究チームが、HTTP/HTTPSの上位にある表示モジュールを標的にすることで、悪意のある中間者によって悪用することが可能な脆弱性を発見した。
研究チームの説明では、問題の骨子は以下の通りだ。
攻撃者がブラウザのトラフィックを傍受できる多くの現実にあるネットワーク環境では、攻撃者がHTTPSサーバからの秘密データを盗むこと、HTTPSのページを偽造すること、認証されたユーザーを装ってHTTPSサーバーにアクセスすることが可能である。これらの脆弱性は、最新のブラウザの設計において軽視されている問題を反映したもので、すべての主要なブラウザと、非常に多くのウェブサイトに影響がある。
SecurityFocusのアドバイザリによれば、この問題によって、攻撃者が送ったHTMLおよびスクリプトが影響のあるブラウザのコンテクストで実行され、攻撃者によってクッキーに基づく認証情報が盗まれたり、ユーザーに対するサイトの表示がコントロールされる可能性があるという。攻撃方法は他にも存在する可能性がある。
影響のあるブラウザには、MicrosoftのInternet Explorer 8、Mozilla Firefox、Google Chrome、AppleのSafari、Operaが含まれる。
元々、この脆弱性はMozillaのブラウザにのみ影響のある問題だと考えられていたが、アドバイザリが更新され、この問題はMozillaの製品だけでなく複数のブラウザに影響を及ぼすと修正された。
この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。 原文へ
