米CERTコーディネーションセンター(CERT/CC)は米国時間2017年10月16日、無線LANのセキュリティプロトコル「WPA2」の脆弱性を公表した。アクセスポイントと端末の通信を確立する「ハンドシェイク」と呼ばれる動作の脆弱性を悪用して、パケットの暗号解除、不正なパケットの注入(インジェクション)、TCPコネクションのハイジャック、不正なHTTPコンテンツの注入などが可能と確認された。

 この脆弱性について、以下のCVE IDが割り当てられた。CVE-2017-13077、同13078、同13079、同13080、同13081、同13082、同13084、同13086、同13087、同13088。

 無線LAN業界団体のWi-Fiアライアンスも同日声明を発表して、脆弱性が確認されていることを認めた。「簡単なソフトウエアアップデートによって解決できる。主要ベンダーを含むWi-Fi業界は既にパッチを導入し始めている」というコメントをWebサイトに掲載した。また、悪用された証拠はないと主張している。

 CERT/CCとWi-Fiアライアンスはともに脆弱性を報告したベルギーのルーヴェン・カトリック大学のMathy Vanhoef氏への謝辞を述べた。