ニュース

Microsoft、「Internet Explorer」の“SSL 3.0”を無効化するプログラムを公開

数カ月の間に「Internet Explorer」の“SSL 3.0”を既定で無効化する方針も明らかに

「Microsoft Fix it 51024」

 米Microsoft Corporationは29日(現地時間)、「Internet Explorer」の“SSL 3.0”サポートを無効化する暫定対策プログラム「Microsoft Fix it 51024」を公開した。現在、同社のセキュリティアドバイザリページから無償でダウンロード可能。今後数カ月の間に「Internet Explorer」の“SSL 3.0”サポートを初期状態で無効化する方針も明らかにされている。

 同社のセキュリティアドバイザリ(3009008)によると、“SSL 3.0”プロトコルには脆弱性(CVE-2014-3566)があり、暗号化通信の一部が解読されてしまう恐れがあるという。本脆弱性を悪用した攻撃は成立しにくく、現在のところ攻撃は確認されていないとのこと。そのため危険性の高い脆弱性とまでは言えないものの、長期的には“SSL 3.0”の利用はとりやめ、サーバーやクライアントを“TLS 1.0”、“TLS 1.1”、あるいは“TLS 1.2”といったより安全なプロトコルへ移行することが推奨されている。

(樽井 秀人)