HTTP CONNECT リクエスト と HTTP 407 Proxy Authentication Required レスポンスは平文で通信されるため、中間者攻撃 (man-in-the-middle attack) を受ける可能性があります。さらに、WebKit を使って作成されたアプリケーションは、HTTPS リクエスト送信先ドメインのコンテキストで、任意のスクリプトを実行される可能性があります。 ウェブブラウザやオペレーティングシステムからプロキシサーバを経由して HTTPS リクエストを送信する場合、最初にプロキシサーバに対して HTTP CONNECT リクエストを送信します。HTTP CONNECT リクエストやプロキシサーバからの応答メッセージは平文でやりとりされるため、中間者攻撃 (man-in-the-middle attack) を受ける可能性があります。 中間者攻撃において、プロキシサーバからの応答メッセージを改ざんして 407 Proxy Authentication Required メッセージを返すことにより、認証情報を取得される可能性があります。 さらに、WebKit を使って作成されたアプリケーションのクライアントは、プロキシサーバからの応答メッセージを HTTPS リクエスト送信先ドメインのコンテキストで処理するため、中間者攻撃によって、ウェブブラウザ上で任意のスクリプトを実行される可能性があります。 詳しくは、 FalseCONNECT のウェブサイトをご参照ください。 FalseCONNECT のウェブサイト http://falseconnect.com/

[アップデートする] JVNVU#90754453 の [ベンダ情報] や CERT/CC VU#905344 の [Vendor Information] 欄を参照し、開発者が提供する情報をもとに、アップデートを適用してください。 JVNVU#90754453 の [ベンダ情報] http://jvn.jp/vu/JVNVU90754453/ CERT/CC VU#905344 の [Vendor Information] 欄 https://www.kb.cert.org/vuls/id/905344#vendors [ワークアラウンドを実施する] 信頼できないネットワークに接続しない 公共 WiFi を含め、信頼できないネットワークに接続している場合、プロキシサーバ経由で通信するクライアントを使用しないようにしてください。 [プロキシ設定を無効にする] Proxy auto-configuration (PAC) や Web proxy auto-discovery (WPAD) の使用が不要である場合、それらの設定を無効にしてください。