米国時間12月9日のセキュリティ更新は、それ自体がさまざまな問題を修正するものだったが、Microsoftは同日に特定のプラットフォームを対象とした2件のセキュリティ更新の修正版も再配信し、Internet Explorerに新しいPOODLE脆弱性対策機能を追加した。このPOODLE対策機能の説明や実装方法について幾つかの矛盾点が浮上している。
11月11日に配信されたMS14-065「Internet Explorer用の累積的なセキュリティ更新プログラム(3003057)」には、ある脆弱性の修正に関する不備があった。この更新プログラムは、「CVE-2014-6353」で報告されているメモリ破損の脆弱性などを修正するものだったが、Windows 7とWindows Server 2008 R2で実行されるInternet Explorerのバージョン8と10を対象に、このセキュリティ更新の修正版が12月9日に再配信された。これと同じ修正は、同日に配信されたInternet Explorer用の累積的なセキュリティ更新プログラムにも含まれている。
MS14-066「Schannelの脆弱性によりリモートでコードが実行される(2992611)」は、MicrosoftのSSL/TLS実装である「Schannel」の脆弱性を修正するセキュリティ更新だったが、これに含まれていた問題を修正するため、12月9日にWindows VistaとWindows Server 2008を対象に、セキュリティ更新の修正版が再配信された。
MicrosoftはMS14-066で緊急レベルの脆弱性を修正するとともに、TLSの新しい暗号スイートなどの新しいセキュリティ機能を追加したが、これが多くのWindowsシステムで深刻な問題を引き起こしたと思われる。Windows VistaとWindows Server 2008用に再配信されたセキュリティ更新の修正版は、この新しい暗号スイートをシステムから削除するものだった可能性がある。MS14-066の再配信は、11月のセキュリティ更新が実施された1週間後にも行われていたので、今回で再配信は2回目となる。1回目の再配信では新しい暗号スイートが優先度一覧から削除され、2回目の再配信では暗号スイートのインストール対象からWindows VistaとWindows Server 2008が除外されている。
Microsoftは12月9日の月例パッチで「セキュリティアドバイザリ3009008」も再配信し、SSL 3.0のPOODLEバグについて「Internet Explorer 11でSSL 3.0のフォールバック警告が利用可能になったことをお知らせします」と説明している。また、参照先のサポート技術情報では、「Fix it」プログラムのダウンロードリンクを提供するとともに、グループポリシーオブジェクトを設定し、Internet ExplorerがTLS 1.0以降のバージョンからSSL 3.0以前のバージョンにフォールバックした際に警告を表示する方法を説明している。このサポート技術情報によると、これと同じ修正が、12月に配信されたInternet Explorer用の累積的なセキュリティ更新プログラムでも適用される。
セキュリティアドバイザリ、サポート技術情報、そしてFix itプログラムのダイアログボックスに表示されるメッセージを文字通りに解釈すれば、今回の修正はSSL 3.0フォールバック発生時の警告を有効化するためのものである。しかし、Fix itプログラムとグループポリシーオブジェクトの設定を詳しく見てみると、実際にはフォールバックが警告されるだけでなく、フォールバック自体が無効化されることが分かる。さらに、Fix itプログラムをインストールすると、無効化されていたInternet ExplorerのSSL 3.0サポート(正確にはSchannel)が再び有効化される。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
