Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

プロクシー利用時に影響受ける脆弱性「FalseCONNECT」 - OS XやiOSは修正済み

プロクシー経由でインターネットへアクセスする際に、中間者攻撃を受けるおそれがある脆弱性が「FalseCONNECT」として公表された。WebKitを用いるブラウザでは、任意のスクリプトを実行されるおそれがあるという。

20160817__fc_001.jpg
「FalseCONNECT」の公表サイト

セキュリティ研究者のJerry Decime氏が公表したもの。

同氏によれば、プロクシーにおける認証機能の実装に問題があり、プロクシ経由で接続する際に認証情報を詐取されるおそれがあるという。

同氏は今回の脆弱性について「FalseCONNECT」と名付け、ウェブサイトを公表した。

具体的には、HTTPS通信においてもプロクシーに対する接続要求「HTTP CONNECT」が平文で送信されるため、アクセス先が秘匿されないほか、さらに平文により応答があり、これを「HTTP 407 Proxy Authentication Required」へ置き換えることで、認証情報を詐取するマンインザミドル攻撃(MITM攻撃)が可能になると指摘している。

(Security NEXT - 2016/08/17 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

CiscoのWindows向けVPNクライアントに脆弱性 - 更新を
「Office for Mac」向けにセキュリティ更新 - 脆弱性2件を修正
「BIND 9」にリモートより悪用可能な脆弱性 - アップデートが公開
複数脆弱性を修正した「OpenSSL 1.1.1j」が公開
「OpenSSL」にサービス拒否の脆弱性 - アップデートが公開
「Aruba ClearPass Policy Manager」に複数の脆弱性
複数脆弱性を修正、「Chrome 88.0.4324.182」が公開
長年存在した「Microsoft Defender」の脆弱性が月例パッチで修正
ファイル送受信製品「FileZen」に脆弱性 - アップデートは準備中、緩和策の実施を
グラフや表を作成のWP向けプラグインに深刻な脆弱性

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.