MicrosoftがSSL 3.0の「POODLE」脆弱性問題に対処 「Fix it」公開

今後数カ月以内にIEおよび同社オンラインサービス全般の初期設定でSSL 3.0を無効にする計画を明らかにした。

[鈴木聖子，ITmedia]

Microsoftのセキュリティアドバイザリー

　SSL 3.0に「POODLE」と呼ばれる深刻な脆弱性が見つかった問題で、米Microsoftは10月29日、SSL 3.0をワンクリックで無効にできる「Fix it」ツールをInternet Explorer（IE）の全バージョン向けに公開した。

　Microsoftのアドバイザリーによると、Windowsは全バージョンがSSL 3.0を実装しており、この脆弱性の影響を受ける。悪用された場合、攻撃者が暗号化されたTLSセッションをダウングレードしてクライアントにSSL 3.0を使用させ、Webブラウザで不正なコードを実行できてしまう恐れがある。ただし、「顧客にとって高い危険性のある脆弱性とは考えられない」としている。

　対策として、今後数カ月以内にIEでSSL 3.0へのフォールバックを無効にするとともに、IEおよび同社オンラインサービス全般でSSL 3.0を初期設定で無効にする計画を明らかにした。

　SSL 3.0のみに依存しているシステムはごく少数ではあるが、特に企業ではこれを無効にすれば、何らかの影響が生じる場合もあるとMicrosoftは説明する。顧客には事前に通知する方針で、この変更に備えて準備に着手するよう促している。