MS、12月の定例パッチで過去のセキュリティ更新も修正

Larry Seltzer (Special to ZDNET.com) 翻訳校正: 編集部

2014-12-11 11:32

 米国時間12月9日のセキュリティ更新は、それ自体がさまざまな問題を修正するものだったが、Microsoftは同日に特定のプラットフォームを対象とした2件のセキュリティ更新の修正版も再配信し、Internet Explorerに新しいPOODLE脆弱性対策機能を追加した。このPOODLE対策機能の説明や実装方法について幾つかの矛盾点が浮上している。

 11月11日に配信されたMS14-065「Internet Explorer用の累積的なセキュリティ更新プログラム(3003057)」には、ある脆弱性の修正に関する不備があった。この更新プログラムは、「CVE-2014-6353」で報告されているメモリ破損の脆弱性などを修正するものだったが、Windows 7とWindows Server 2008 R2で実行されるInternet Explorerのバージョン8と10を対象に、このセキュリティ更新の修正版が12月9日に再配信された。これと同じ修正は、同日に配信されたInternet Explorer用の累積的なセキュリティ更新プログラムにも含まれている。

 MS14-066「Schannelの脆弱性によりリモートでコードが実行される(2992611)」は、MicrosoftのSSL/TLS実装である「Schannel」の脆弱性を修正するセキュリティ更新だったが、これに含まれていた問題を修正するため、12月9日にWindows VistaとWindows Server 2008を対象に、セキュリティ更新の修正版が再配信された。

 MicrosoftはMS14-066で緊急レベルの脆弱性を修正するとともに、TLSの新しい暗号スイートなどの新しいセキュリティ機能を追加したが、これが多くのWindowsシステムで深刻な問題を引き起こしたと思われる。Windows VistaとWindows Server 2008用に再配信されたセキュリティ更新の修正版は、この新しい暗号スイートをシステムから削除するものだった可能性がある。MS14-066の再配信は、11月のセキュリティ更新が実施された1週間後にも行われていたので、今回で再配信は2回目となる。1回目の再配信では新しい暗号スイートが優先度一覧から削除され、2回目の再配信では暗号スイートのインストール対象からWindows VistaとWindows Server 2008が除外されている。

 Microsoftは12月9日の月例パッチ「セキュリティアドバイザリ3009008」も再配信し、SSL 3.0のPOODLEバグについて「Internet Explorer 11でSSL 3.0のフォールバック警告が利用可能になったことをお知らせします」と説明している。また、参照先のサポート技術情報では、「Fix it」プログラムのダウンロードリンクを提供するとともに、グループポリシーオブジェクトを設定し、Internet ExplorerがTLS 1.0以降のバージョンからSSL 3.0以前のバージョンにフォールバックした際に警告を表示する方法を説明している。このサポート技術情報によると、これと同じ修正が、12月に配信されたInternet Explorer用の累積的なセキュリティ更新プログラムでも適用される。

 セキュリティアドバイザリ、サポート技術情報、そしてFix itプログラムのダイアログボックスに表示されるメッセージを文字通りに解釈すれば、今回の修正はSSL 3.0フォールバック発生時の警告を有効化するためのものである。しかし、Fix itプログラムとグループポリシーオブジェクトの設定を詳しく見てみると、実際にはフォールバックが警告されるだけでなく、フォールバック自体が無効化されることが分かる。さらに、Fix itプログラムをインストールすると、無効化されていたInternet ExplorerのSSL 3.0サポート(正確にはSchannel)が再び有効化される。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

  5. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]