通常ならば、金庫室にアクセスするためのマスターパスワードが公式のウェブサイト以外のあらゆるウェブサイト上で入力された場合、LastPass は警告を発する。攻撃者は、その警告の表示をブロックすることができた。
Rovnix は広範に知られているものではない。IBM によれば、テストを行った 54 のアンチウイルス製品のうち、このマルウェアの特定の構成を検出したのは、わずか 4 つだった。ただし現在、シグネチャファイルの追加が行われている最中である。
これらのバグは(無害そうなアプリケーションのバグでも)、賢い攻撃者により強力なベクトルで悪用される可能性がある。「もし誰かがモデムを攻撃できたら、そのモデムは電車の自動制御システムを攻撃でき、そして彼らは電車の制御を奪うことができる」
暗号を利用したウェブサイトと情報交換する際は、自分のパスワードの秘密が保たれていると思いがちだ。HTTPS Bicycle攻撃は、そうでない場合もあるということを示している。ほんの僅かな情報も、のちに『より洗練された攻撃』をもたらす可能性がある。
それをクラックするには非常に多くの計算力が要求される、という仮定が常にあったが、コードは1時間でクラックでき、エンドユーザーになりすましてシステムに侵入できる可能性があるということを、この論文は主張している。
Juniper 社製 Firewall 製品である NetScreen で動作する ScreenOS には、管理アクセスにおける認証を回避する脆弱性が報告されています。
ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)