お使いのブラウザは最新版ではありません。最新のブラウザでご覧ください。

マイクロソフト、Schannelの脆弱性に対するセキュリティアップデートに一部問題

2014/11/17 12:22
  • このエントリーをはてなブックマークに追加

 Microsoftは、米国時間11月11日にリリースしたアップデート「MS14-066」に関する警告をナレッジベース上で公開した。同社は回避策を提供しており、アップデートの適用を見送ったり、アンインストールしたりすることは推奨していない。

 このアップデートでは、MicrosoftのSSL/TLS暗号化の実装であるSchannelに存在する重大な脆弱性が少なくとも1件修正されている。この脆弱性は極めて重大なものだと各所で認識されていたため、米ZDNetもユーザーに対して早急にアップデートを適用するよう呼びかけていた。

 しかし、このアップデートを適用したユーザーの一部は、深刻な問題に遭遇した。その問題は、デフォルトでTLS 1.2が有効化されており、ネゴシエーションが失敗した場合に引き起こされる。Microsoftによると、この問題が発生した際には「TLS 1.2のコネクションが切断され、プロセスがハングしたり(応答しなくなったり)、サービスからの応答が断続的になる」という。また、システムイベントのログ上には、イベントIDが36887という事象が記録される可能性もあり、その詳細説明は「A fatal alert was received from the remote endpoint. The TLS protocol defined fatal alert code is 40.」(リモート側のエンドポイントから致命的な警告を受信した。TLSプロトコルによって定義されている致命的アラートコードは40)になるという。

 このMS14-066というアップデートには、セキュリティアップデートだけでなくいくつかの新機能、すなわち新しいTLS暗号スイートも4つ含まれている。これらの暗号スイートが、何らかのかたちで問題を引き起こす原因となっている。問題を回避するには、以下の4つの暗号スイートを削除する必要がある。

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256

 削除するための具体的な方法については、同社のこのナレッジベースを参照してほしい。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

  • このエントリーをはてなブックマークに追加
個人情報保護方針
利用規約
訂正
広告について
運営会社