ニュースソース:The ROBOT Attack
以下は 2017年12月12日に発表されたThe ROBOT Attackを要約したものです。
19年前に発見されたRSAに対する古典的なBleichenbacher攻撃が、実は現在でも可能であることが分かりました。
これをROBOT (Return Of Bleichenbacher’s Oracle Threat) と名付けます。
1998年にDaniel Bleichenbacherは、PKCS#1 v1.5パッディングのエラーのためにSSLサーバーによって提供されたエラーメッセージが暗号文攻撃を可能にしたことを発見しました。
この攻撃は、RSA暗号化で使用されるTLSの機密性を完全に破棄します。
我々は、いくつかのわずかなバリエーションを使用することによって、現在でも多くのHTTPSホストに対して、解決済みとみなされていたこの脆弱性を使用できることを発見しました。
FacebookやPaypalなど、インターネット上で最も人気のあるウェブページが影響を受けました。
Alexaによってランク付けされた上位100個のドメインのうち、合計で27個に脆弱なサブドメインが見つかりました。
The ROBOT Attackでは、SSL証明書を利用したページの安全性をチェックできます。
緑色の帯で表示されるサイトはこの脆弱性の影響がありません。少なくとも以下例の黄色の帯の状態に判定されない場合、サイトの安全性は確保されません。
緑色の帯で表示されるサイトはこの脆弱性の影響がありません。少なくとも以下例の黄色の帯の状態に判定されない場合、サイトの安全性は確保されません。