FREAK (CVE-2015-0204)と呼ばれる新しい脆弱性が、OpenSSLと呼ばれる有名なオープンソースソフトウェアパッケージで発見されました。 これにより、攻撃者はブラウザが使用する安全なHTTPS接続を侵害できます。 この脆弱性は、OpenSSLおよびApple OS Xを使用しているため、モバイルプラットフォームのGoogle AndroidおよびApple iOSに影響を及ぼしました。MicrosoftSchannelの同様の脆弱性のため、サポートされているすべてのバージョンのMicrosoft Windows(
SA 3046015 )も脆弱です。
OS XおよびiOS(Safari)のパッチは来週ユーザーが利用できるようになります。これはGoogle Chrome Webブラウザーにも同じことが当てはまります。 Internet Explorerの場合、
ここで説明されて
いる回避策を引き続き使用でき
ます 。 FREAKの脆弱性を使用して、攻撃者はクライアントとサーバー間の信頼できるHTTPSセキュア接続を安全性の低いバージョンに切り替え、トラフィックを解読することができます(いわゆる中間者攻撃)。
脆弱性は、クライアントソフトウェアとサーバーソフトウェアの両方の影響を受けます。 FREAKによって侵害される可能性のあるWebサイトのリストは
こちらです。 また、この脆弱性の危険性は、ユーザーの脆弱なWebブラウザーの観点から、攻撃者がHTTPS接続を危険にさらしても、信頼されたままであり、ユーザーにセキュリティ警告が発行されないという事実にあります。