米CERTコーディネーションセンター(CERT/CC)は米国時間2017年10月16日、無線LAN(Wi-Fi)のセキュリティープロトコル「WPA2」の脆弱性を公表した。アクセスポイントと端末の通信を確立する「ハンドシェイク」と呼ばれる動作の脆弱性を悪用して、パケットの暗号解除、不正なパケットの注入(インジェクション)、TCPコネクションのハイジャック、不正なHTTPコンテンツの注入などが可能と確認された。
この脆弱性について、以下のCVE IDが割り当てられた。CVE-2017-13077、同13078、同13079、同13080、同13081、同13082、同13084、同13086、同13087、同13088。
無線LAN業界団体のWi-Fiアライアンスも同日声明を発表して、脆弱性が確認されていることを認めた。「簡単なソフトウエアアップデートによって解決できる。主要ベンダーを含むWi-Fi業界は既にパッチを導入し始めている」というコメントをWebサイトに掲載した。また、悪用された証拠はないと主張している。
CERT/CCとWi-Fiアライアンスはともに脆弱性を報告したベルギーのルーヴェン・カトリック大学のMathy Vanhoef氏への謝辞を述べた。
(白井良 日経SYSTEMS)
[ITpro 2017年10月17日掲載]
Read Again https://www.nikkei.com/article/DGXMZO22339450X11C17A0000000/
0 件のコメント:
コメントを投稿