TLS1.0以前のSSL技術で保護されているWebサイトで、ユーザーとサーバー間を通るデータの効率的な復号を可能にする重大な脆弱性が発見されたとのこと。新しくかつ高速なブロック単位での選択平文攻撃によって、SSLプロトコルの機密性に対して攻撃を仕掛けるようです。
詳細は今週アルゼンチンのブエノスアイレスで開催されるekoparty Security Conference 2011でThai Duong氏と Juliano Rizzo氏が発表します。
発表では”BEAST”と呼ばれるPoC（概念実証コード）を使って、PayPalアカウントを対象にHTTPSで暗号化された通信の中からcookiesを復号するようです。ちなみに”BEAST”は”Browser Exploit Against SSL/TLS”の略だそうです。

• Hackers break SSL encryption used by millions of sites • The Register

まだあまり話題になっていない気がしますが、実際にどれぐらい使えてしまう攻撃手法なんでしょうか。
TLS1.0以前というと、現在使われているブラウザのほとんどが該当しますね。TLS1.1やTLS1.2は影響を受けにくいようですが、まだ標準で実装されているブラウザは少ないですね。今後が気になります。