すべてのWindowsに「FREAK」と同等の脆弱性が存在 – Microsoft

　

　Microsoftは3月5日(米国時間)、「Microsoft Security Advisory 3046015」において、サポートしているWindowsのすべてのバージョンにSSL/TLSの脆弱性「FREAK」と同等の脆弱性が存在すると伝えた。Schennel(Secure Channel)と呼ばれる機能にこの問題が存在しており、FREAKと同等の手順で通信に使われる暗号化機能をより弱いものへ変更できてしまう。
　
　影響を受けるソフトウェアは次のとおり。
　
　Windows Server 2003 Service Pack 2
　Windows Server 2003 x64 Edition Service Pack 2
　Windows Server 2003 with SP2 for Itanium-based Systems
　Windows Vista Service Pack 2
　Windows Vista x64 Edition Service Pack 2
　Windows Server 2008 for 32-bit Systems Service Pack 2
　Windows Server 2008 for x64-based Systems Service Pack 2
　Windows Server 2008 for Itanium-based Systems Service Pack 2
　Windows 7 for 32-bit Systems Service Pack 1
　Windows 7 for x64-based Systems Service Pack 1
　Windows Server 2008 R2 for x64-based Systems Service Pack 1
　Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
　Windows 8 for 32-bit Systems
　Windows 8 for x64-based Systems
　Windows 8.1 for 32-bit Systems
　Windows 8.1 for x64-based Systems
　Windows Server 2012
　Windows Server 2012 R2
　Windows RT
　Windows RT 8.1
　Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
　Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
　Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
　Windows Server 2012 (Server Core installation)
　Windows Server 2012 R2 (Server Core installation)
　
　発表時点では、Microsoftからアップデートやセキュリティパッチの提供は行われていないが。ただ、回避策として、Windows Vista以降のバージョンでは、SSL暗号スイートの順序を変更することでRSAによる暗号化を無効にすることが紹介されている。Microsoftは調査が完了した後、適切なタイミングで何らかの対応を取ると説明している。