mylo2 をお使いの方ご注意を [PC]
即座にアップデートしないと結構危険な香りがします。
ITMediaにソニーの「mylo」に脆弱性、フィッシング詐欺の危険もという記事が。
かなり重大な脆弱性に感じます。
詳細は本文に書いてあるのですが、
SSL/TLS接続する際にサーバ証明書の検証ならびに警告を行わないというもの
どういう事かと言うと、「サイトの信頼性が確認できない」ので、
mylo2で訪れたサイトが、フィッシング詐欺サイトであっても警告が出ない。
その上、流れている通信が暗号化してあるSSLでも盗聴できてしまう可能性が有る。
結構重大かつ厄介ですねぇ。
というか、サーバ証明書を検証しないなんて、
インターネットに接続する機器としてはかなりの問題だと思います。
ユーザーの方、早急にアップデートされる事をオススメします。
ITMediaにソニーの「mylo」に脆弱性、フィッシング詐欺の危険もという記事が。
かなり重大な脆弱性に感じます。
詳細は本文に書いてあるのですが、
SSL/TLS接続する際にサーバ証明書の検証ならびに警告を行わないというもの
どういう事かと言うと、「サイトの信頼性が確認できない」ので、
mylo2で訪れたサイトが、フィッシング詐欺サイトであっても警告が出ない。
その上、流れている通信が暗号化してあるSSLでも盗聴できてしまう可能性が有る。
結構重大かつ厄介ですねぇ。
というか、サーバ証明書を検証しないなんて、
インターネットに接続する機器としてはかなりの問題だと思います。
ユーザーの方、早急にアップデートされる事をオススメします。
証明書の検証を行わないって、まるっきりSSLの意味が無いですよね(ーー;;
危険な不具合…というかブラウザ作った人が手抜きだったのかと思ってしまいます。
by Riever (2008-04-23 22:47)
>Virgoさん
nice!ありがとうございます。
>ガッツさん
nice!ありがとうございます。
>Rieverさん
今回のって、もっと噛み砕いた説明をオフィシャルはすべきじゃないのかなぁって思います。
ネット接続しているmylo2全てが脆弱な状態なんですから。
隠すんじゃなくて、ちゃんと「不具合は不具合と告知して」ユーザーに早急なアップデートを呼びかけるというのが本来だと思います。
>かつぽんさん
nice!ありがとうございます。
>蔵三
nice!ありがとうございます。
>satomiさん
nice!ありがとうございます。
by arkstar (2008-04-24 20:36)
>Drilliantさん
nice!ありがとうございます。
by arkstar (2008-04-27 20:36)
So-net blogのrss巡回専用マシンと化している
うちのmylo2ではあまり必要のない機能とも
思えるんですが。。。(^^;)
by 店員佐藤 (2008-04-27 23:36)
>店員佐藤さん
それでも、インターネットに接続する以上は脆弱性を消しておかないと危険だと思います。
関係無いと思っていても、別のもののバックドアに使われる可能性も有ります。
何にせよアップデートは必須だと思いますよ。
by arkstar (2008-04-28 00:34)