SSLの脆弱性でTwitterのパスワード入手に成功

研究者がSSLの中間者攻撃の脆弱性を悪用し、他人のTwitterパスワードを入手することに成功したと発表した。 SANS Internet Storm Centerや米IBM傘下のセキュリティ企業Internet Security Systems（ISS）のブログによると、TLS／SSLプロトコルに中間者攻撃の脆弱性が見つかった問題で、研究者がこの脆弱性を悪用してTwitterのログイン情報を盗み出すことに成功したと発表した。 脆弱性はTLS／SSLのリネゴシエーションの過程に存在し、理論的には中間者攻撃によってHTTPSセッションにデータを挿入することが可能になるとされていたが、当初の情報では実際に悪用するのは難しいと見られていた。 しかしISSなどによれば、研究者はこの脆弱性を突いて被害者がTwitterサーバに送ったHTTPパケットにアクセスし、パスワードなどのログイン情報を取得する

[blythegirls]

被害でてたのか

[tsupo]

脆弱性はTLS/SSLのリネゴシエーションの過程に存在 / 中間者攻撃によってHTTPSセッションにデータを挿入することが可能 / この問題に対処した更新版の「OpenSSL 0.9.8l」ではリネゴシエーションの処理を無効化

[yujiorama]

仕組みをちゃんと理解しないといけないと思った

[pitworks]

TLS／SSLのリネゴシエーションの過程に存在し、理論的には中間者攻撃によってHTTPSセッションにデータを挿入することが可能になるとされていたが、当初の情報では実際に悪用するのは難しいと見られていたが・・・(略)

[coji]

元ネタの元ネタ http://www.securegoose.org/2009/11/tls-renegotiation-vulnerability-cve.html

[willnet]

openssl

[mrmt]

twitterという例題の選択がアピール的にうまいかも

[Nagise]

OpenSSLの特定バージョンの実装にミスがあって、Twitter（いつ時点か不明）で攻撃を検証することができた、ということか。

[TAKESAKO]

な、なんだってー【ITmedia】SSLの脆弱性でTwitterのパスワード入手に成功

[theblackcoffee]

Paypalあたりは平気なの？

[mahbo]

リネゴシエションの脆弱性を突いた中間者攻撃で成功したとの事。

[jx0]

脆弱性はTLS／SSLのリネゴシエーションの過程に存在し、理論的には中間者攻撃によってHTTPSセッションにデータを挿

[hirose31]

うひー

[kazuhooku]

opensslアップデートするしかないってことか