【訂正あり】無線LANの「WPA2」で盗聴や改ざん可能となる「KRACK」 - 多数機器に影響

同脆弱性は7月に明らかとなり、その後多くの製品が影響を受けることが判明。関連するベンダーには、CERT/CCを通じて8月28日に通知された。実証コード（PoC）は公開されていないが、研究論文はすでに公開されている。12月に開催されるBlack Hat Europe 2017にて発表される予定。

今回の問題は「WPA2」が終焉を迎えたわけではなく、あらたなプロコトルへ移行しなくとも、パッチなどで実装上の問題を修正することさえできれば、「KRACK」を防ぐことは可能だ。各ベンダーからのパッチ提供が待たれる。

パッチはアクセスポイント、クライアントの双方に適用する必要があるが、脆弱性に対する攻撃は、特にクライアントがターゲットになるとされており、パソコンやスマートフォンなどへアップデートを優先して適用する必要がある。クライアントモードで運用するルータなどにも注意が必要。

クライアントとアクセスポイントの両方にパッチを適用しなくても、後方互換のため従来通り接続することが可能。またルータには脆弱性が存在しないケースもあり、クライアントのみ対応すれば良い場合もあるが、いずれも脆弱性が存在した場合はすべて修正する必要があるとしている。

（Security NEXT - 2017/10/16 ） ツイート

PR

関連記事

iOS向けLINEアプリの「金融系モジュール」に脆弱性 - アップデートで修正済み
WP向け操作ログ記録プラグインにSQLi脆弱性 - パッチ未提供
「Node.js」向けMySQLクライアントにRCE脆弱性
「PuTTY」に脆弱性、「WinSCP」「FileZilla」なども影響 - 対象の旧鍵ペアは無効化を
Ivanti製モバイル管理製品「Avalanche」に深刻な脆弱性 - 一部PoCが公開済み
サードパーティ製ソフトに起因する脆弱性7件を修正 - Atlassian
「MS Edge 124」がリリース、脆弱性17件を修正
「PAN-OS」脆弱性への攻撃、国内でも被害報告
「ClamAV」にクリティカルパッチ - サービス拒否の脆弱性など修正
「PAN-OS」のアップデートが公開 - 旧版にも順次提供予定