Microsoftは、米国時間11月11日にリリースしたアップデート「MS14-066」に関する警告をナレッジベース上で公開した。同社は回避策を提供しており、アップデートの適用を見送ったり、アンインストールしたりすることは推奨していない。
このアップデートでは、MicrosoftのSSL/TLS暗号化の実装であるSchannelに存在する重大な脆弱性が少なくとも1件修正されている。この脆弱性は極めて重大なものだと各所で認識されていたため、米ZDNetもユーザーに対して早急にアップデートを適用するよう呼びかけていた。
しかし、このアップデートを適用したユーザーの一部は、深刻な問題に遭遇した。その問題は、デフォルトでTLS 1.2が有効化されており、ネゴシエーションが失敗した場合に引き起こされる。Microsoftによると、この問題が発生した際には「TLS 1.2のコネクションが切断され、プロセスがハングしたり(応答しなくなったり)、サービスからの応答が断続的になる」という。また、システムイベントのログ上には、イベントIDが36887という事象が記録される可能性もあり、その詳細説明は「A fatal alert was received from the remote endpoint. The TLS protocol defined fatal alert code is 40.」(リモート側のエンドポイントから致命的な警告を受信した。TLSプロトコルによって定義されている致命的アラートコードは40)になるという。
このMS14-066というアップデートには、セキュリティアップデートだけでなくいくつかの新機能、すなわち新しいTLS暗号スイートも4つ含まれている。これらの暗号スイートが、何らかのかたちで問題を引き起こす原因となっている。問題を回避するには、以下の4つの暗号スイートを削除する必要がある。
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_128_GCM_SHA256
削除するための具体的な方法については、同社のこのナレッジベースを参照してほしい。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。