情報処理推進機構 |
情報処理推進機構(IPA)は3月11日、「Microsoft 製品の脆弱性対策について(2015年3月):IPA 独立行政法人 情報処理推進機構」において、同日にMicrosoftから更新プログラムが公開されたことを伝えるとともに、修正対象となっている脆弱性はすでに悪用が確認されているとして、至急修正プログラムを適用するように注意を促した。
ただし、「2015年3月 Microsoft セキュリティ情報 (緊急 5件含) に関する注意喚起|JPCERTコーディネーションセンター」に説明があるように、すでにMS15-031に対する回避策を実施したシステムに対して更新プログラムを適用する場合は、更新プログラムを適用する前に回避策を解除する必要がある。回避策を解除する際は、「Schannel の脆弱性により、セキュリティ機能のバイパスが起こる (3046049)|マイクロソフト セキュリティ情報 MS15-031 - 重要」などの情報が参考になる。
今回の更新プログラムには、先日話題になったSSL/TLSに関する脆弱性(通称:FREAK)に関する修正が含まれている。この脆弱性を悪用されると、HTTPSで通信する場合も弱い暗号化機能を使用するように誘導され、通信内容を傍受される危険性がある。今回のアップデートの対象となるソフトウェアを使用している場合は迅速にアップデートを適用することが推奨される。
