Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Windowsに「FREAK」の脆弱性 - 定例外パッチ含めMSが対応検討

SSL/TLS接続において、危殆化した脆弱な暗号が利用される脆弱性「FREAK」が注目を集めているが、日本マイクロソフトは、Windowsも影響を受けることを明らかにした。悪用は確認されていないという。

「Windows」や「Windows Server」でSSL/TLS接続の実装に用いる「Schannel(Secure Channel )」に、強度の低い暗号へ強制的にダウングレードさせられる脆弱性「CVE-2015-1637」が存在していることをセキュリティアドバイザリで公表したもの。ただし、サーバとして利用する場合、Windows Server 2003を除き、既定の設定であれば影響を受けないという。

一部のセキュリティベンダーが、「Internet Explorer」について脆弱性と無関係であり、「Windows利用者への影響は限定的である」といった見方も示していたが、勇み足となったかたちだ。

日本マイクロソフトでは、定例外の可能性も含め、セキュリティ対策プログラムを提供することも検討しているという。同社はMicrosoft Active Protections Program(MAPP)などを通じて情報を共有。またセキュリティアドバイザリを公開し、回避策を案内している。

(Security NEXT - 2015/03/06 ) このエントリーをはてなブックマークに追加

PR

関連記事

MS、「Juniper VPNクライアントライブラリ」の更新を配信
TLSに脆弱性「Logjam」 - 国家レベルなら1024ビットまで盗聴可能
Apple Watchに「FREAK」など13件の脆弱性 - セキュリティ更新が公開
OpenSSL、「FREAK」の脆弱性について重要度を引き上げ
Apple、Yosemite向けに「Security Update 2015-003」を公開
MS月例パッチが「FREAK」対応 - 回避策実施時はパッチ適用前に解除を
3月のMS月例パッチは14件 - 「FREAK」やUXSSのゼロデイ脆弱性に対応
「FREAK」などOS Xの脆弱性5件を修正 - Apple
Apple、「iOS 8.2」を公開 - 「FREAK」に対応
一部サイトで「FREAK」対策はじまるものの出足鈍く