昨日グーグルは 39 Chromeブラウザのバージョン, 修正 42 悪名高いSSLのサポートを完全に削除することが知られている脆弱性 3.0 対象となった証明書 POODLEマルウェア攻撃 先月.
攻撃は10月にGoogleの研究者によって発見されました, その後まもなく、同社はブラウザをアップグレードすると発表しました, そのため、サーバーを古いSSLにフォールバックすることはできません。 3.0 証明書. ハッカーが使用していたのは、新しいSSL / TLSバージョンを使用する代わりに、サーバーをこのバージョンにフォールバックさせることでした。, 後に多数のリクエストを送信してトラフィックを復号化する. Googleは、今後数か月以内に古い証明書を完全に削除することを計画しています.
'少し先に, おそらく約3ヶ月で, SSLv3を完全に無効にしたいと考えています. Chromeにたった今着陸した変更は、SSLv3へのフォールバックのみを無効にします–SSLv3を正しくネゴシエートするサーバーは引き続きそれを使用できます. SSLv3を完全に無効にすると、フォールバックを無効にするだけでなく、さらに損益分岐点になりますが、SSLv3はCBCモードの暗号で完全に損益分岐点になり、他の唯一のオプションはRC4です。, それほど魅力的ではありません. したがって、SSLv3に依存するサーバーは、今すぐそれに対処する必要があることに気づきます。, 先月Googleの研究者が書いた.
Googleが修正しているパッチの中には、リスクの高い脆弱性がいくつかあります。, バッファと整数のオーバーフローの実装, 解放後使用パッチ, 等. これらはすべて、研究者がそれらに気付いた後に発生します. 同社は合計で賞金を支払った $ 25,000 これらの旗を掲げている人の, 支払う $16,500 開発中にエラーを見つけた人にもっと合計.
これが 研究者の全リスト, 彼らの賞品と彼らが旗を掲げた問題:
→ 賞 $500][パッチ 389734] 高CVE-2014-7899: アドレスバーのなりすまし. クレジット エリグレイ.
[賞 $1500][パッチ 406868] 高CVE-2014-7900: pdfiumでの解放後の使用. OUSPGからのAtteKettunenへのクレジット.
[賞 $1000][パッチ 413375] 高CVE-2014-7901: pdfiumの整数オーバーフロー. cloudfuzzerのクレジット.
[賞 $1000][パッチ 414504] 高CVE-2014-7902: pdfiumでの解放後の使用. cloudfuzzerのクレジット.
[賞 $3000][パッチ 414525] 高CVE-2014-7903: pdfiumのバッファオーバーフロー. cloudfuzzerのクレジット.
