MicrosoftのセキュリティアドバイザリーSSL 3.0に「POODLE」と呼ばれる深刻な脆弱性が見つかった問題で、米Microsoftは10月29日、SSL 3.0をワンクリックで無効にできる「Fix it」ツールをInternet Explorer(IE)の全バージョン向けに公開した。
Microsoftのアドバイザリーによると、Windowsは全バージョンがSSL 3.0を実装しており、この脆弱性の影響を受ける。悪用された場合、攻撃者が暗号化されたTLSセッションをダウングレードしてクライアントにSSL 3.0を使用させ、Webブラウザで不正なコードを実行できてしまう恐れがある。ただし、「顧客にとって高い危険性のある脆弱性とは考えられない」としている。
対策として、今後数カ月以内にIEでSSL 3.0へのフォールバックを無効にするとともに、IEおよび同社オンラインサービス全般でSSL 3.0を初期設定で無効にする計画を明らかにした。
SSL 3.0のみに依存しているシステムはごく少数ではあるが、特に企業ではこれを無効にすれば、何らかの影響が生じる場合もあるとMicrosoftは説明する。顧客には事前に通知する方針で、この変更に備えて準備に着手するよう促している。
関連記事
- SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明
- AppleのiOS 8.1、SSL 3.0の脆弱性などを修正
- Apple、OS X向けのセキュリティアップデート公開、SSL 3.0の脆弱性に対処
- Microsoft OLEにゼロデイ脆弱性、PowerPoint悪用の標的型攻撃も
関連リンク
Copyright© 2014 ITmedia, Inc. All Rights Reserved.