OpenSSL の Heartbleed 大解剖:たった 4 バイトが引き起こす恐怖のバグ~「C 爆弾」のコードが世界に投下される(The Register) | ScanNetSecurity
2021.01.22(金)

OpenSSL の Heartbleed 大解剖:たった 4 バイトが引き起こす恐怖のバグ~「C 爆弾」のコードが世界に投下される(The Register)

そのメモリには、メッセージやパスワードなどといった旨みのある情報が含まれている。そして別の heartbeatMessage を送信することにより、別の 64KB が漏えいされるため、被害者のシステムを徹底的に調査して御馳走を得るよう、それは繰り返される。

国際 TheRegister
【分析】パスワードを漏らす OpenSSL のバグ、通称「Heartbleed」は非常に悪質で、「しばらくの間はインターネットを利用しないこと」が良い対策であるようにすら思われるものだ。

この幅広く利用されている暗号化ライブラリに見つかった欠陥は、誰もが手軽に、そして密かに、脆弱なシステム(あなたの銀行の HTTPS サーバからプライベート VPN に至るまで)に手をつけ、パスワードやログインクッキー、プライベート暗号キー、その他を盗むことができるようにする。

この 2014 年に、なぜ、そのようなことが起こりえたのか?

Metasploit による、このエクスプロイトのためのシンプルなスクリプトは、「OpenSSL1.0.1 から 1.0.1f を利用して TLS 暗号化を行っているシステム」からセンシティブなインメモリデータを抽出することができる。我々が聞かされている情報によると、このバグは「信頼されているHTTPS のウェブサイト、ならびにクライアントソフトウェア、メールサーバ、チャットサービス、その他、前述のバージョンの OpenSSL を使用したもの」の約 17.5%、約 50 万件に影響を及ぼすものであるという。

この脆弱性が月曜(編集部註:2014 年 4 月 7 日)に発表されたことを受け、現在では、かなりの数の大手ウェブサービスが修復を済ませた;あなたはこのツールを使って確認することができる(もちろん、利用は自己責任でお願いしたい)。だが、もしもあなたが影響を受けている場合は、OpenSSL のインストールを修復するだけでなく、くれぐれも以下のことを忘れないでほしい――キーの変更、セッションクッキーの削除、そしてあなたのデータの危険性の評価だ。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×