マイクロソフトがSSL 3.0の脆弱性「POODLE」に対処するFix itを公開

　MicrosoftはPOODLEを悪用した攻撃の対象となる機能を無効にするFix itを公開した。このFix itはレジストリの変更を行うもので、他の対処方法よりも手順が簡単になる。POODLEは、2014年10月にGoogleの研究者が発見したSSL 3.0の脆弱性に与えられた名称だ。SSLはTLSに取って代わられており、TLSの最新バージョンは1.2だが、サーバーが新しいプロトコルをサポートしていない場合、古いバージョンが使用される場合がある。

SSL 3.0の脆弱性「POODLE」について知っておくべきこと

　POODLEはSSL/TLSの設計上の欠陥であるため、このバグを修正するパッチは存在しない。このため、ベンダーはすでに古くなっており、非推奨であったSSL 3.0のサポートを無効化しつつある。SSL 3.0を必要とするサーバシステムの数は少ないと言われているが、これらのサーバの利用者は、クライアントシステムでSSL 3.0がサポートされなくなるにつれて、問題を抱えることになる見込みだ。

　Fix itを使用しなくても、「Internet Explorer」でSSL 3.0のサポートを無効化するのはそれほど難しくない。「ツール」の「インターネット オプション」ダイアログボックスにある「詳細設定」タブで、「SSL 3.0を使用する」オプションのチェックを外すだけだ。管理されている環境では、グループポリシーの設定を利用できる（「コンピュータの構成」->「管理テンプレート」->「Windows コンポーネント」->「Internet Explorer」->「インターネット コントロール パネル」->「詳細設定」で、「暗号化サポートを無効にする」をオフにする）。

　Googleは、今後数ヶ月間で同社のすべてのクライアント製品でSSL 3.0のサポートを廃止するとしている。Firefoxの次のバージョン（11月25日リリース予定）では、SSL 3.0が完全に無効化される。Mozillaはそれまでの一時的な対応として、「SSL Version Control」というアドオンを作成し、ユーザーがこの機能を無効化できるようにしている。