マイクロソフト セキュリティ アドバイザリ (2588513)
SSL/TLS の脆弱性により、情報漏えいが起こる
公開日:
バージョン: 1.0
概説
概要
マイクロソフトは Windows のオペレーティングシステムに影響を及ぼす SSL 3.0 および TLS 1.0 に存在する脆弱性を悪用する新しい手法について説明した詳細な情報が一般に公開されたことを確認しています。この脆弱性はプロトコル自体に影響を及ぼすもので、Windows オペレーティングシステムに特化した問題ではありません。これは情報漏えいの脆弱性で、悪用された場合、暗号化された SSL/TLS トラフィックが解読される可能性があります。この脆弱性は主に HTTPS トラフィックに影響を与えますが、ブラウザーが主要な攻撃ベクターであるため、HTTPS または、HTTP/HTTPS が混合したコンテンツを経由した Web トラフィックすべてが影響を受けます。現時点でマイクロソフトは、この脆弱性をその他のプロトコルやコンポーネントで悪用する方法、および報告された脆弱性の悪用を試みる攻撃は認識していません。この攻撃シナリオを考慮し、この脆弱性はお客様に高いリスクをもたらすものではないと考えます。
マイクロソフトは、パートナーがお客様にさらに幅広い保護を提供するために使用できる情報を提供すべく、Microsoft Active Protections Program (MAPP) で積極的にパートナーと協力しています。
この調査を完了次第、マイクロソフトは、お客様を保護するための適切なアクションを行う予定です。これには、マイクロソフトの月例のリリース プロセスによるセキュリティ更新プログラムの提供またはお客様のニーズにより、定例外のセキュリティ更新プログラムの提供が含まれる場合があります。
問題を緩和する要素:
- この攻撃が成功するには、数百もの HTTPS リクエストを作成する必要があります。
- CBC モードを使用していない TLS 1.1、TLS 1.2 およびすべての暗号群 (cipher suites) は、影響を受けません。
推奨するアクション: お客様のシナリオに該当する回避策については、このアドバイザリの「推奨するアクション」のセクションを参照してください。
アドバイザリの詳細
問題の参照情報
この問題の詳細については、以下の参照情報をご覧ください。
| 参照情報 | 番号 |
|---|---|
| CVE リファレンス | CVE-2011-3389 |
| マイクロソフト サポート技術情報 | 2588513 |
影響を受けるソフトウェア
このアドバイザリは次のソフトウェアについて説明しています。
| 影響を受けるソフトウェア |
|---|
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 with SP2 for Itanium-based Systems |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 for 32-bit Systems Service Pack 2 |
| Windows Server 2008 for x64-based Systems Service Pack 2 |
| Windows Server 2008 for Itanium-based Systems Service Pack 2 |
| Windows 7 for 32-bit Systems および Windows 7 for 32-bit Systems Service Pack 1 |
| Windows 7 for x64-based Systems および Windows 7 for x64-based Systems Service Pack 1 |
| Windows Server 2008 R2 for x64-based Systems および Windows Server 2008 R2 for x64-based Systems Service Pack 1 |
| Windows Server 2008 R2 for Itanium-based Systems および Windows Server 2008 R2 for Itanium-based Systems Service Pack 1 |
よく寄せられる質問
推奨するアクション
関連情報
Microsoft Active Protections Program (MAPP)
お客様のセキュリティ保護をより向上させるために、マイクロソフトは、月例のセキュリティ更新プログラムの公開に先立ち、脆弱性情報を主要なセキュリティ ソフトウェア プロバイダーに提供しています。セキュリティ ソフトウェア プロバイダーは、この脆弱性の情報を使用し、ウイルス対策、ネットワーク ベースの侵入検出システムまたはホスト ベースの侵入防止システムを介して、お客様に最新の保護環境を提供します。この様な保護環境を提供するセキュリティ ソフトウェアの製造元の情報は、Microsoft Active Protections Program (MAPP) Partners に記載されている各社のWeb サイトをご覧ください。
フィードバック
- フィードバックをご提供いただく際は、マイクロソフト サポート オンライン のフォームへ入力をお願いします。
サポート
- セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。マイクロソフト セキュリティ情報センター 利用可能なサポート オプションに関する詳細は マイクロソフト サポート オンライン をご覧ください。
- その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。マイクロソフト プロダクト サポートへの連絡方法はこちらをご覧ください。
- Microsoft TechNet セキュリティ センター では、製品に関するセキュリティ情報を提供しています。
免責条項
この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。)結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。
更新履歴
- V1.0 (2011/09/27): このアドバイザリを公開しました。