8/17/2016

WebKitのプロキシ認証に脆弱性 (FalseCONNECT)

Slashdotより。SoftpediaがWebKitの脆弱性を報告しているとのこと。JVNから脆弱性レポートが公開されている。iOS 9.3.3、El Capitan 10.11.6で修正済み。ワークアラウンドとしては、プロキシ設定を無効にする。

Softpediaが「Jerry Decimeが幾つかの製品でプロキシ認証処理の実装に欠陥があり、中間者攻撃を可能にし、HTTPSトラフィックを妨害できるセキュリティ脆弱性の詳細を明らかにした。」と報告している。欠陥は再認証をごまかし、第三者にデータを送信することでユーザの認証情報を収集するために利用できる。複数のソフトウェアベンダはプロキシ接続を処理できる認証をデプロイしている。今まで、影響のある製品にApple、Microsoft、Oracle、Operaが確認されている。Lenovoはこのバグは影響しないと語った。他のソフトウェアベンダはまだFalseCONNECTバグを評価しており、Linuxディストロ、Cisco、Google、HP、IBM、Juniper、Mozilla、Nokia、OpenBSD、SAP、Sonyなど広範囲に影響があるかも知れない。