これはMicrosoft社「TechNet Blogs」にて好評自他もので、かねてより問題となっていたSSL 3.0プロトコルに存在している脆弱性 (通称 POODLE) のウェブサイトでの安全な通信 HTTPS (HTTP over SSL) における対策として、「POODLE 対策」としての対応です。
Microsoftでは、この「POODLE」対策として、昨年10月に「セキュリティアドバイザリ」でこの脆弱性を警告し、IEにおいてSSL 3.0を無効にするための設定方法などを紹介していました。しかし、「SSL 3.0の既定での無効化」については、「Google Chrome」及び「Firefox」に遅れをとっていました。
▶︎【SSL 3.0脆弱性「POODLE」】自分のPCの情報を守るために最低限やっておくこと
Microsoftが先ごろ公開した2月のWindowsアップデート(月例セキュリティ情報)自動配信更新プログラムでは、Internet Explorer 11の「SSL 3.0」フォールバックを既定で無効にする更新プログラムが公開されています。
4月14日に公開される予定のWindowsアップデート(月例セキュリティ情報)では、Internet Explorer 11の「SSL 3.0」そのものを既定で無効にする更新プログラムが配信されるものと考えられます。
ただ、更新プログラムが配信されるまでの間は、自己防衛のために、手動による設定変更の設定を行うようにしておきましょう。
Internet Explorer 11の「SSL 3.0」を無効化する方法
Internet Explorerを起動して、最新バージョンであることを確認の上、メインメニュー[ツール]→[インターネット オプション]→[詳細設定]を開きます。[詳細設定]画面の設定窓を下にスクロールして「SSL 2.0を使用する」と「SSL 3.0を使用する」のチェックを外します。
POODLE 脆弱性とは?
SSL 3.0 はトランスポート層での通信データのセキュリティを確保するためのアルゴリズムの一つです。SSL/TLSは、ウェブサイトでの安全な通信HTTPS(HTTP over SSL)や、安全なLDAP通信LDAPS (LDAP over SSL)などに利用されています。
SSL/TLS では通信データは暗号化が行われますが、SSL 3.0にて特定の暗号化方式(CBC モード)を利用している場合、通信データの一部の内容を知り得ることができてしまう、という脆弱性が報告されました。この脆弱性は、通称で「POODLE」の脆弱性と呼ばれています。
▶︎TechNet Blogs
0 件のコメント:
コメントを投稿