マイクロソフト、Schannelの脆弱性に対するセキュリティアップデートに一部問題

Larry Seltzer (Special to ZDNET.com) 翻訳校正: 編集部2014年11月17日 12時22分

 Microsoftは、米国時間11月11日にリリースしたアップデート「MS14-066」に関する警告をナレッジベース上で公開した。同社は回避策を提供しており、アップデートの適用を見送ったり、アンインストールしたりすることは推奨していない。

 このアップデートでは、MicrosoftのSSL/TLS暗号化の実装であるSchannelに存在する重大な脆弱性が少なくとも1件修正されている。この脆弱性は極めて重大なものだと各所で認識されていたため、米ZDNetもユーザーに対して早急にアップデートを適用するよう呼びかけていた。

 しかし、このアップデートを適用したユーザーの一部は、深刻な問題に遭遇した。その問題は、デフォルトでTLS 1.2が有効化されており、ネゴシエーションが失敗した場合に引き起こされる。Microsoftによると、この問題が発生した際には「TLS 1.2のコネクションが切断され、プロセスがハングしたり(応答しなくなったり)、サービスからの応答が断続的になる」という。また、システムイベントのログ上には、イベントIDが36887という事象が記録される可能性もあり、その詳細説明は「A fatal alert was received from the remote endpoint. The TLS protocol defined fatal alert code is 40.」(リモート側のエンドポイントから致命的な警告を受信した。TLSプロトコルによって定義されている致命的アラートコードは40)になるという。

 このMS14-066というアップデートには、セキュリティアップデートだけでなくいくつかの新機能、すなわち新しいTLS暗号スイートも4つ含まれている。これらの暗号スイートが、何らかのかたちで問題を引き起こす原因となっている。問題を回避するには、以下の4つの暗号スイートを削除する必要がある。

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256

 削除するための具体的な方法については、同社のこのナレッジベースを参照してほしい。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]