最近公表された通信の脆弱性(Logjam)
皆さん、はじめまして。
クラウドシステムソリューション事業部の松永と申します。
個人的にはゲーム等もよくやったりするので、どちらの話題について書くか迷っていたのですが、
つい最近気になるニュースがありましたので今回はこちらのテーマでいきたいと思います。
まだ今週の話ですが、5/20に「Logjam」という脆弱性が公表されました。
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4000
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-002764.html
内容の概要としては通信の暗号が弱いものに置き換えられてしまうとのことで、
条件次第で盗聴や改竄の恐れがあるとのことです。
CVSS(いわゆる危険度)の値としてはそれほど高くないようですが、
名前の付けられた脆弱性ということもあり、注目しているところではあります。
さて一般ユーザへの影響ですが、
Internet Explorer、Firefox、Google Chrome、Safari等、インターネットブラウザで影響があります。
対策は各ブラウザのアップデート待ちとなり、今のところ個人で何かできることはなさそうです。
なお、各ニュースサイトでは「主要ブラウザはいずれも脆弱性を修正もしくは対応しているという」といった表記であったり、「最新版が提供された場合にはアップデートすることを勧めている」などと書かれており、割とあいまいになっていますが、この記事を書いている5/24時点では、基本的にはまだIE11以外では修正版が出ていないようです。
使っているブラウザが対策されているかどうかは、下記サイトにアクセスすることで確認することが出来ます。
このページの上部で青い表示が出ていれば対策済み、赤い表示が出ていれば未対策となっています。
英語ですが脆弱性に関しての詳細も色々書いてありますので、興味のある方は是非一度見てみてはいかがでしょうか。
https://weakdh.org/