MS、12月の定例パッチで過去のセキュリティ更新も修正

Larry Seltzer (Special to ZDNet.com) 翻訳校正: 編集部 2014年12月11日 11時32分

  • このエントリーをはてなブックマークに追加

 米国時間12月9日のセキュリティ更新は、それ自体がさまざまな問題を修正するものだったが、Microsoftは同日に特定のプラットフォームを対象とした2件のセキュリティ更新の修正版も再配信し、Internet Explorerに新しいPOODLE脆弱性対策機能を追加した。このPOODLE対策機能の説明や実装方法について幾つかの矛盾点が浮上している。

 11月11日に配信されたMS14-065「Internet Explorer用の累積的なセキュリティ更新プログラム(3003057)」には、ある脆弱性の修正に関する不備があった。この更新プログラムは、「CVE-2014-6353」で報告されているメモリ破損の脆弱性などを修正するものだったが、Windows 7とWindows Server 2008 R2で実行されるInternet Explorerのバージョン8と10を対象に、このセキュリティ更新の修正版が12月9日に再配信された。これと同じ修正は、同日に配信されたInternet Explorer用の累積的なセキュリティ更新プログラムにも含まれている。

 MS14-066「Schannelの脆弱性によりリモートでコードが実行される(2992611)」は、MicrosoftのSSL/TLS実装である「Schannel」の脆弱性を修正するセキュリティ更新だったが、これに含まれていた問題を修正するため、12月9日にWindows VistaとWindows Server 2008を対象に、セキュリティ更新の修正版が再配信された。

 MicrosoftはMS14-066で緊急レベルの脆弱性を修正するとともに、TLSの新しい暗号スイートなどの新しいセキュリティ機能を追加したが、これが多くのWindowsシステムで深刻な問題を引き起こしたと思われる。Windows VistaとWindows Server 2008用に再配信されたセキュリティ更新の修正版は、この新しい暗号スイートをシステムから削除するものだった可能性がある。MS14-066の再配信は、11月のセキュリティ更新が実施された1週間後にも行われていたので、今回で再配信は2回目となる。1回目の再配信では新しい暗号スイートが優先度一覧から削除され、2回目の再配信では暗号スイートのインストール対象からWindows VistaとWindows Server 2008が除外されている。

 Microsoftは12月9日の月例パッチ「セキュリティアドバイザリ3009008」も再配信し、SSL 3.0のPOODLEバグについて「Internet Explorer 11でSSL 3.0のフォールバック警告が利用可能になったことをお知らせします」と説明している。また、参照先のサポート技術情報では、「Fix it」プログラムのダウンロードリンクを提供するとともに、グループポリシーオブジェクトを設定し、Internet ExplorerがTLS 1.0以降のバージョンからSSL 3.0以前のバージョンにフォールバックした際に警告を表示する方法を説明している。このサポート技術情報によると、これと同じ修正が、12月に配信されたInternet Explorer用の累積的なセキュリティ更新プログラムでも適用される。

 セキュリティアドバイザリ、サポート技術情報、そしてFix itプログラムのダイアログボックスに表示されるメッセージを文字通りに解釈すれば、今回の修正はSSL 3.0フォールバック発生時の警告を有効化するためのものである。しかし、Fix itプログラムとグループポリシーオブジェクトの設定を詳しく見てみると、実際にはフォールバックが警告されるだけでなく、フォールバック自体が無効化されることが分かる。さらに、Fix itプログラムをインストールすると、無効化されていたInternet ExplorerのSSL 3.0サポート(正確にはSchannel)が再び有効化される。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]