本日、月例セキュリティ情報と併せて公開したセキュリティ アドバイザリ 2949927、および、2977292 に加え、セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開しました。
※日本語訳は現在準備中です。公開次第、こちらのページでお知らせします。上記リンクをクリックすると、英語ページにリダイレクトされます。

SSL 3.0 (CBCモード) を利用している場合、プロトコルに存在している脆弱性が悪用され、暗号化されている通信の内容が漏えいする可能性があります。この SSL 3.0 の脆弱性は、SSL 3.0 プロトコル自体に存在している業界全体で取り組むべき脆弱性であり、特定の製品の実装上の脆弱性ではありません。

マイクロソフトでは、現在、調査を行っており、調査が完了次第、マイクロソフトはお客様を保護するための適切な措置を講じる予定です。なお、この脆弱性を悪用するための新しい手法は、お客様にとって大きなリスクではないと考えられています。また、現時点では、悪用は確認されていません
詳細は、セキュリティ アドバイザリ 3009008 を参照してください。

 

■影響を受けるソフトウェア・環境

  • サポートされるすべてのバージョンの Windows

※CBC モードを利用する SSL 3.0 を利用している場合のみ影響を受けます。TLS 1.0、TLS 1.1、TLS 1.2、および、CBC モードを利用しない暗号スイートは影響を受けません。

 

■ 回避方法
SSL 3.0 を無効にし、TLS 1.0、TLS 1.1、および、TLS 1.2 を有効にしてください。

クライアント側: グループ ポリシー、あるいは、個別にSSL 3.0 を無効にして、TLS 1.0、TLS 1.1、および TLS 1.2 を有効にする。

詳細な設定方法等は、セキュリティ アドバイザリ 3009008IEサポートチームブログを参照してください。

 

サーバー側:レジストリにてSSL 3.0 を無効にして、TLS 1.0、TLS 1.1、および TLS 1.2 を有効にする。

詳細な設定方法は、サポート技術情報 187498 を参照してください。

■ 緩和策
脆弱性を悪用するためには、以下の要素が必要となります。この要素を回避するよう構成することで攻撃を緩和することができます。

  • 攻撃者は何百もの HTTPS リクエストを被害者へ送信し、攻撃を成功させる必要があります。
  • SSL 3.0 (CBC モード) を利用している場合に影響を受けます。TLS 1.0、TLS 1.1、TLS 1.2、および、CBC モードを利用しない暗号スイートは影響を受けません。

■ 参考情報

----------------------------------

更新履歴

10 月15 日 15:25 セキュリティ アドバイザリ 3009008 の日本語ページを公開しました。

10 月16 日 15:30 回避策を追記しました。

10 月 20 日 15:00 IE サポートチームブログを参考情報として追記しました。