Microsoft Corporation

Microsoftは3月5日(米国時間)、「Microsoft Security Advisory 3046015」において、サポートしているWindowsのすべてのバージョンにSSL/TLSの脆弱性「FREAK」と同等の脆弱性が存在すると伝えた。Schennel(Secure Channel)と呼ばれる機能にこの問題が存在しており、FREAKと同等の手順で通信に使われる暗号化機能をより弱いものへ変更できてしまう。

影響を受けるソフトウェアは次のとおり。

  • Windows Server 2003 Service Pack 2
  • Windows Server 2003 x64 Edition Service Pack 2
  • Windows Server 2003 with SP2 for Itanium-based Systems
  • Windows Vista Service Pack 2
  • Windows Vista x64 Edition Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for Itanium-based Systems Service Pack 2
  • Windows 7 for 32-bit Systems Service Pack 1
  • Windows 7 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
  • Windows 8 for 32-bit Systems
  • Windows 8 for x64-based Systems
  • Windows 8.1 for 32-bit Systems
  • Windows 8.1 for x64-based Systems
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows RT
  • Windows RT 8.1
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2 (Server Core installation)

発表時点では、Microsoftからアップデートやセキュリティパッチの提供は行われていないが。ただ、回避策として、Windows Vista以降のバージョンでは、SSL暗号スイートの順序を変更することでRSAによる暗号化を無効にすることが紹介されている。Microsoftは調査が完了した後、適切なタイミングで何らかの対応を取ると説明している。