ニュース

Microsoft、SSL 3.0脆弱性対策としてIEの「Fix it」を公開

今後数カ月以内にIEのデフォルト設定でSSL 3.0は無効に

 米Microsoftは29日、SSL 3.0の「POODLE」脆弱性問題についてのセキュリティアドバイザリを更新し、IEでSSL 3.0を無効にするためのツール「Fix it」を公開した。

 この脆弱性は、SSL 3.0におけるCBCブロック暗号のパディングの検証が不十分であることが原因となるもので、SSL 3.0プロトコルの設計に起因するため、Microsoftの製品に限らず、SSL 3.0をサポートする多数の製品に影響がある。

 Microsoftでは、脆弱性の緩和策として、IEでSSL 3.0のサポートを無効にするためのツール「Fix it」を公開した。

 また、Microsoftでは今後数カ月以内に、Internet Explorer(IE)のデフォルト設定や、MicrosoftのオンラインサービスでSSL 3.0を無効にすると説明。ユーザーに対しては、クライアントやサービスをTLS 1.0/1.1/1.2などのより安全なプロトコルに移行することを推奨するとしている。

(三柳 英樹)