先の記事にて解説したとおり、信頼できる通信路 との組み合わせにおいては、TCPのみで攻撃することは困難であるため、 UDPにおけるヒープ確保の阻止が焦点となります。つまり、A/AAAAの1セットのUDPレスポンスにおいて、それぞれが1024バイト、合計値が2048バイトを超過しない事が条件です。EDNS0無効時においては、1レスポンスあたり512バイトであるため、仕様に沿っていればこれを超過しません。
この脆弱性は2016年2月17日に対策済みバージョンと共に公開されました。内容としてはgetaddrinfoの呼び出しにおいてスタックバッファオーバーフローが発生する物です。公開時点で以下の通り、PoCを含めた技術的な詳細が公開されています。本記事では、脆弱性が発生するまでの処理と、回避策について解説したいと思います。
ブラウザ上でWindowsのブルースクリーンを模した画面を表示し、あたかもマルウェアに起因する障害を生じているかのように見せかける詐欺サイトが国内外で確認されています。類似の詐欺は古くから存在しますが、最近確認されているものは、被害者のISP情報を表示するウィンドウをポップアップしたり、バナーでMicrosoftソフトウェアの専門家を名乗るなどして危機感を煽ります。このケースでは直ちに技術サポートと称する番号に電話をかけるよう促されます。メッセージが表示される段階では、あくまでHTMLコンテンツとしてブルースクリーンを模しているだけであり、マルウェア感染などの障害は生じていません。ポップアップが邪魔でブラウザが閉じられない場合は、タスクマネージャーからブラウザを選択して終了する、あるいはALT+F4ショートカットを使うなどしてポップアップを回避することが可能です。
Webブラウザの拡張機能(プラグインなど)には、その拡張機能が組み込まれたブラウザでアクセスした先のURLを、インターネット側の第三者に送信する機能を持つものがあります。これらの拡張機能の多くは利用者の判断で、同意のもとに正当にブラウザに組み込まれたものです。しかし、この機能を利用者が属する会社などの組織の内部において使用したときには、その組織内部のWebサーバに関する情報が外部に送信されることになり、組織からの情報漏えいにあたる行為と考えることができます。IIJでは実際に数多くの企業などにおいて、このような拡張機能が導入されていることを確認し、対策を実施しています。ここに示す情報を組織のセキュリティ基準などと照らし合わせて、組織の内部においてはURLを送信するような拡張機能を利用しないように対処することをお勧めします。
OpenSSL に Man-in-the-middle (MITM) 攻撃が可能な脆弱性 CVE-2014-0224 が発見され、日本時間 2014年 6月 5日の夜に公開されました。そのアドバイザリでは合わせて 7件の脆弱性が報告されていますが、本記事では脆弱性 CVE-2014-0224 を取り上げます。IIJ でも本脆弱性を調査した結果、MITM 攻撃が可能になるには条件があります。したがって、例えば使用している OpenSSL のバージョンや SSL/TLS 通信の利用の仕方に応じて、アップデートの緊急性を個別に検討する余地があります。