Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

MS月例パッチが「FREAK」対応 - 回避策実施時はパッチ適用前に解除を

日本マイクロソフトは、3月の月例セキュリティパッチを公開し、脆弱な暗号化通信が行われる「FREAK」問題へ対応した。事前に回避策を行っている場合、パッチ適用前に解除しないとインターネットの利用に影響を与える可能性があるとして、注意を呼びかけている。

「FREAK」は、暗号化通信の下位互換により、米国で暗号技術の輸出規制が行われていた1990年代当時の不十分な鍵長によって暗号化通信を行わせる脆弱性。中間者攻撃が行われた場合、暗号化通信を盗聴されたり、改ざんされるおそれがある。

同社は、3月6日にセキュリティアドバイザリを提供し、「Schannel」に同様の脆弱性が含まれていることを公表。回避策を案内するとともに、定例外も含めて対応を検討していたが、3月11日に公開した月例のセキュリティ更新「MS15-031」で修正を行った。

同社によれば、セキュリティアドバイザリで同社が案内した回避策を適用したシステムに「MS15-031」の「3046049」を適用すると、大多数のインターネットサービスが利用できなくなるおそれがあるという。同社では回避策を解除した上で「MS15-031」を適用するよう注意を呼びかけている。

(Security NEXT - 2015/03/11 ) このエントリーをはてなブックマークに追加

PR

関連記事

DBD攻撃の悪用脆弱性、99%が「Flash Player」 - 「Java」への攻撃は鎮静化
MS、「Juniper VPNクライアントライブラリ」の更新を配信
TLSに脆弱性「Logjam」 - 国家レベルなら1024ビットまで盗聴可能
Apple Watchに「FREAK」など13件の脆弱性 - セキュリティ更新が公開
OpenSSL、「FREAK」の脆弱性について重要度を引き上げ
Apple、Yosemite向けに「Security Update 2015-003」を公開
3月のMS月例パッチは14件 - 「FREAK」やUXSSのゼロデイ脆弱性に対応
「FREAK」などOS Xの脆弱性5件を修正 - Apple
Apple、「iOS 8.2」を公開 - 「FREAK」に対応
一部サイトで「FREAK」対策はじまるものの出足鈍く