TLS/SSLに脆弱性、MSがセキュリティアドバイザリを公開

　マイクロソフトは10日、TLS/SSLの脆弱性により、中間者攻撃が行われる危険のある脆弱性について、セキュリティアドバイザリ（977377）を公開した。

　マイクロソフトでは、この脆弱性はTLS/SSLプロトコル自体に起因する問題のため、マイクロソフト製品以外にも広く影響があると説明。現在、非営利団体のICASI（Internet Consortium for Advancement of Security on the Internet）でこの脆弱性への対応を進めており、マイクロソフトでもセキュリティ更新プログラムの提供を含め、対応を検討中だとしている。

　脆弱性は、TLS/SSLの再ネゴシエーションに中間者攻撃の可能性のある脆弱性があり、これによりなりすましなどの危険があるもの。プロトコル自体に起因する脆弱性のため、マイクロソフトが現在サポートしているすべてのOSが影響を受ける可能性がある。

　マイクロソフトでは脆弱性の回避策として、IIS6およびそれ以降のバージョンでSSLAlwaysNegoClientCertを有効にする方法を挙げている。