TLS/SSLに脆弱性、MSがセキュリティアドバイザリを公開


 マイクロソフトは10日、TLS/SSLの脆弱性により、中間者攻撃が行われる危険のある脆弱性について、セキュリティアドバイザリ(977377)を公開した。

 マイクロソフトでは、この脆弱性はTLS/SSLプロトコル自体に起因する問題のため、マイクロソフト製品以外にも広く影響があると説明。現在、非営利団体のICASI(Internet Consortium for Advancement of Security on the Internet)でこの脆弱性への対応を進めており、マイクロソフトでもセキュリティ更新プログラムの提供を含め、対応を検討中だとしている。

 脆弱性は、TLS/SSLの再ネゴシエーションに中間者攻撃の可能性のある脆弱性があり、これによりなりすましなどの危険があるもの。プロトコル自体に起因する脆弱性のため、マイクロソフトが現在サポートしているすべてのOSが影響を受ける可能性がある。

 マイクロソフトでは脆弱性の回避策として、IIS6およびそれ以降のバージョンでSSLAlwaysNegoClientCertを有効にする方法を挙げている。


関連情報

(三柳 英樹)

2010/2/10 15:59