インターネット上の通信の暗号化手段として普及している「OpenSSL」に重大な脆弱(ぜいじゃく)性が見つかり、波紋を広げている。セキュリティ会社によると、これを悪用すれば痕跡を残さずインターネットサービスからユーザーの ID やパスワード、暗号化の中核となる秘密鍵などを盗み取れるという。

通信の安全をになう「OpenSSL」に重大なバグ
OpenSSL の公式サイトから脆弱性に対応した最新版を入手できる

公式サイトの説明によると、この脆弱性を突けば OpenSSL を導入したサーバなどのシステムメモリ上の情報を暴露できる。影響を受けるバージョンは、OpenSSL 1.0.1 と 1.0.2-beta で、1.0.1f や 1.0.2-beta1 を含む。

米国 Google のセキュリティ部門に所属する Neel Mehta 氏が発見、報告した。

公式サイトでは対象の OpenSSL を導入している場合、同日公開になったバージョン 1.0.1g に更新するよう案内が出ている。すぐに更新できない場合に向けて、設定の変更方法も紹介している。なお今後公開するバージョン 1.0.2-beta2 でも修正予定だという。

フィンランドのセキュリティ会社 Codenomicon は今回の脆弱性について詳しい解説記事を掲載(英語)している。