2017 年 2 月 28 日 Corey Nachreiner 著

今日のデイリーセキュリティバイトでは、2 つの話題を取り上げますが、どちらも Google のセキュリティ調査に関連するものです。

1 つ目の大きな話題は、CloudBleed の脆弱性に関するものです。Google の有名なセキュリティ研究者である Tavis Ormandy 氏が、CloudFlare サービスを使用している Web サイトから「セキュアではない」 HTTPS 応答が送信されていることを発見しました。そして、これらの応答には、これらのサイトをホスティングしているサーバのメモリからの情報が含まれており、パスワードやデジタルキーなどが含まれている可能性があることがわかりました。CloudFlare はこの報告を受け、問題の原因であるバグを修正しました。

もう 1 つも、Google の Project Zero が新たに発見した、Microsoftの Internet Explorer（IE）と Edge のゼロデイ脆弱性に関するものですが、これについては、Microsoft からパッチが公開されていません。先週の問題と同様、Microsoft が 90 日間の期限内にパッチを公開しなかったため、Google によって、この脆弱性が公開されました。この脆弱性が開示されたことで、パッチ公開までの間、Microsoft のこれらのブラウザのユーザがリスクにさらされることになります。

以下のビデオで、この 2 件の脆弱性の詳細と、CloudBleed の問題の深刻度についてご確認ください。

（エピソードビデオの長さ： 5:59）

YouTube へのダイレクトリンク：https://www.youtube.com/watch?v=JhaIK5_K4bo

エピソードの参照情報

• CloudFlare が公開した CloudBleed に関する技術的な説明 – CloudFlare
• CloudFlare を使用しているかどうかをここで確認 – DoesItUseCloudFlare.com
• Google が IE と Edge のゼロデイを公開 – Ghacks
• IE と Edge のゼロデイに関する技術詳細レポート – Chromium.org

－ Corey Nachreiner, CISSP （@SecAdept）