読者です 読者をやめる 読者になる 読者になる

SymantecのSSL事業、APIの脆弱性を指摘される

Googleからの件もあったSymantecSSL/TLS事業ですが(あれはあれで他はどうなのかとかあるようですが)、セキュリティ研究者のChris Byrne氏から、少なくとも2015年にはAPIに不備があり証明書が盗めた、という指摘が出ています。

(元の指摘:Facebook上での3月24日の投稿)

www.facebook.com

(紹介記事)「SymantecAPI不備によりSSL秘密鍵や証明書が盗まれうるとの報告」

thehackernews.com

Symantecの関連会社で使うSSL/TLS関連APIは、少なくとも2015年時点では、認証が適切でないか、あるいはそもそも認証になってない状態だったようで、発見者はこれを報告、Symantec側も修正するとしていました。その後、実際に最重要部分は修正されたものの、先日のGoogleの件で、対応がいまだに不十分だと知った、と書いています。Symantecからは「全て修正した」との反応が来たことを受けて、Chris氏は「2016年の遅い時期までにSymantecや関連会社から購入したSSL/TLSがあったら失効処理を行うことを強く推奨しています。