6月上旬に発覚したオープンソースのSSL/TLS実装ライブラリ「OpenSSL」の脆弱性について、いまだに脆弱性が修正されていない大手サイトが相当数存在するという調査結果をセキュリティ企業Qualysが公表した。 OpenSSLプロジェクトは6月5日にセキュリティ情報を公開して6件の脆弱性を修正した。中でも「SSL/TLSの中間者攻撃の脆弱性」(CVE-2014-0224)では、攻撃者にクライアントとサーバ間のトラフィックの暗号を解除され、改ざんされる恐れが指摘されていた。 Qualysによれば、ほとんどのWebブラウザはOpenSSLに依存しておらず、ブラウザのユーザーの大半はこの問題の影響を受けないという。ただしAndroidブラウザはOpenSSLを使っているほか、コマンドラインなどのプログラミングツールはOpenSSLを使っているものが多く、特にOpenVPNのようなVPN製品は標
![OpenSSLの脆弱性、いまだに悪用可能なWebサイトが相当数存在](https://cdn-ak-scissors.b.st-hatena.com/image/square/e5fe4058cc82efb4929228e3638a0756ce63e8cb/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fenterprise%2Farticles%2F1406%2F17%2Fsslvul01.jpg)