SSL 3.0の脆弱性とSHA-2への移行を促すMicrosoft - 阿久津良和のWindows Weekly Report

●各種Webブラウザの対策法は?
○SSL 3.0に脆弱性、各種Webブラウザの対策法は?

誤解を恐れずに述べると、セキュリティに対して敏感になるには、"偏執的"にならなければならない。どこにセキュリティホールが埋もれているか、いつ誰が自社のシステムに攻撃を試みるか"妄想"を抱えつつ、開始や対策を講じる必要があるからだ。もちろん筆者を含めた大体数のユーザーが、その域に達するのは難しい話である。だが、近年はセキュリティ脅威も拡大傾向にあり、個人ならオンラインバンキングからの不正送金や情報漏洩など、「知らなかった」では済まされない状況になりつつあるのだ。

このような話をした理由は9月中旬、SSL 3.0の脆弱性が発覚したからである。今回、脆弱性を発見したのはGoogleの研究者。SSL 3.0およびOpenSSL 1.0.1iを特定(CBC)モードで使用した際に攻撃が可能になる「POODLE (Padding Oracle On Downgraded Legacy Encryption)」という脆弱性を発見した。

Microsoftおよび日本マイクロソフトは、マイクロソフト セキュリティ アドバイザリ(3009008)