研究者が新たなTLS／SSLの脆弱性攻撃ツール発表へ、HTTPSセッションを乗っ取り可能

新攻撃ツールの「CRIME」は、圧縮プロトコル「SPDY」の実装に関する脆弱性を突き、SSLで暗号化されたHTTPSセッションを乗っ取ることができてしまうという。 アルゼンチンで9月19日から開かれるセキュリティカンファレンス「ekoparty」で、2人のセキュリティ研究者がTLS／SSLを攻撃する新ツール「CRIME」の発表を予定している。米セキュリティ機関のSANS Internet Storm Centerがブログで伝えた。 SANSの13日のブログによると、同ツールは圧縮プロトコル「SPDY」の実装に関する脆弱性を突き、SSLで暗号化されたHTTPSセッションを乗っ取ることができてしまう。この攻撃は、WebサイトとWebブラウザの両方がSPDYをサポートしている場合にのみ通用するようだとしている。 SPDYをサポートしているのは、主要ブラウザではMozillaのFirefoxとGo

[teramako]

『「SPDY」の実装に関する脆弱性を突き』仕様には問題ないという事で良いのかな。にしては、SPDYをサポートしていれば脆弱性があるという書き方が気になる。

[tmatsuu]

ほう

[kamei_rio]

【圧縮プロトコル「SPDY」の実装に関する脆弱性を突き、SSLで暗号化されたHTTPSセッションを乗っ取る】【IEとAppleのSafariはSPDYをサポートしていない】

[mumincacao]

ってさっきの IE に加えてきつねさん＆くろさまもＮＧじゃないですかーやーだー（・ロ【みかん Safari って Win 版こっそり消えてたような・・・

[tarchan]

＞Internet Explorer（IE）とAppleのSafariはSPDYをサポートしていないため、この問題の影響を受けないとされる。

[nekoruri]

うお、IEの脆弱性 http://t.co/sML7h3IY とは別に、SPDYの脆弱性

[hide_o_55]

"「SPDY」の実装に関する脆弱性を突き、SSLで暗号化されたHTTPSセッションを乗っ取る"

[deep_one]

SPDYの問題。実装の問題とあるが、共通しているならgoogleのミス？（リファレンス実装がまずいとか？）

[superrush4x]

『SPDYをサポートしているのは、主要ブラウザではMozillaのFirefoxとGoogle Chrome、WebサイトではGoogle、Gmail、Twitterなど』