ニュース
Microsoft、「Internet Explorer」の“SSL 3.0”を無効化するプログラムを公開
数カ月の間に「Internet Explorer」の“SSL 3.0”を既定で無効化する方針も明らかに
(2014/10/30 14:44)
米Microsoft Corporationは29日(現地時間)、「Internet Explorer」の“SSL 3.0”サポートを無効化する暫定対策プログラム「Microsoft Fix it 51024」を公開した。現在、同社のセキュリティアドバイザリページから無償でダウンロード可能。今後数カ月の間に「Internet Explorer」の“SSL 3.0”サポートを初期状態で無効化する方針も明らかにされている。
同社のセキュリティアドバイザリ(3009008)によると、“SSL 3.0”プロトコルには脆弱性(CVE-2014-3566)があり、暗号化通信の一部が解読されてしまう恐れがあるという。本脆弱性を悪用した攻撃は成立しにくく、現在のところ攻撃は確認されていないとのこと。そのため危険性の高い脆弱性とまでは言えないものの、長期的には“SSL 3.0”の利用はとりやめ、サーバーやクライアントを“TLS 1.0”、“TLS 1.1”、あるいは“TLS 1.2”といったより安全なプロトコルへ移行することが推奨されている。
URL
- マイクロソフト セキュリティ アドバイザリ 3009008
- https://technet.microsoft.com/ja-jp/library/security/3009008
- Microsoft security advisory: Vulnerability in SSL 3.0 could allow information disclosure: October 15, 2014(「Microsoft Fix it 51024」のダウンロードページ)
- https://support.microsoft.com/kb/3009008/ja
- セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 - 日本のセキュリティチーム - Site Home - TechNet Blogs
- http://blogs.technet.com/b/jpsecurity/archive/2014/10/21/3009008-ssl3.aspx
- [回避策まとめ] セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 その2 - 日本のセキュリティチーム - Site Home - TechNet Blogs
- http://blogs.technet.com/b/jpsecurity/archive/2014/10/30/3009008-ssl3-rev.aspx
(樽井 秀人)