Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

広く利用される暗号化ライブラリに脆弱性「ROCA」 - 鍵長1024ビットなら解析コストは1万円以下

脆弱性を発見した研究者は同脆弱性について少なくとも2012年以降に米政府のセキュリティ認証基準である「NIST FIPS 140-2」や、コモンクライテリアの評価保証レベル「CC EAL 5+」の認定を受けたデバイスにも存在すると指摘している。

一部PCメーカーでは、Trusted BootのためにInfineon製の「TPM(Trusted Platform Module)」ファームウェアを採用しており、対応に追われている。

脆弱性の判明を受けて、Google、HP、Lenovo、富士通など各ベンダーにおいてもアップデートやガイドラインの提供を順次開始した。

またマイクロソフトでは、同社製品における脆弱性ではないとしつつも、同脆弱性の影響を緩和する目的で10月の月例セキュリティ更新によりアップデートを提供した。アップデートを公開した、米時間10月10日の時点で脆弱性の悪用などは確認されていないという。

(Security NEXT - 2017/10/19 ) このエントリーをはてなブックマークに追加

PR

関連記事

Forcepoint DLPにXXE脆弱性 - 複数製品に影響
XMLパーサーのライブラリ「libexpat」に深刻な脆弱性
開発言語「Go」に複数の脆弱性 - アップデートで修正
「Apache Calcite」の一部演算子処理に深刻な脆弱性
Sophos製ファイアウォールに深刻な脆弱性 - すでにゼロデイ攻撃も
DNSサーバ「BIND」に6件の脆弱性 - アップデートがリリース
Windows端末の管理ツールにゼロデイ脆弱性 - 定例外アップデートが公開
Mozilla、「Firefox 105」をリリース - 複数脆弱性を修正
「Atlassian Bitbucket」の深刻な脆弱性 - PoC公開で悪用リスク高まる
Zoomオンプレミス版に脆弱性 - 会議を盗聴されるおそれ