マイクロソフト セキュリティ情報 MS12-006 - 重要
SSL/TLS の脆弱性により、情報漏えいが起こる (2643584)
公開日: | 最終更新日:
バージョン: 1.1
概説
概要
このセキュリティ更新プログラムは、一般に公開された SSL 3.0 および TLS 1.0 の脆弱性を解決します。この脆弱性はプロトコル自体に影響を及ぼし、Windows オペレーティング システムに特定のものではありません。この脆弱性で、攻撃者が影響を受けるシステムから提供される暗号化された Web トラフィックを傍受した場合、情報漏えいが起こる可能性があります。TLS 1.1、TLS 1.2 および CBC モードを使用しないすべての暗号は影響を受けません。
このセキュリティ更新プログラムは、すべてのサポートされているリリースの Microsoft Windows について、深刻度を「重要」と評価しています。詳細情報については、このセクションの「影響を受けるソフトウェアおよび影響を受けないソフトウェア」のサブセクションを参照してください。
このセキュリティ更新プログラムは、Windows Secure Channel (SChannel) コンポーネントが暗号化されたネットワーク パケットを送受信する方法を変更することによって脆弱性を解決します。この脆弱性に関する詳細については、次の「脆弱性の情報」のセクションの特定の脆弱性に関するサブセクション「よく寄せられる質問 (FAQ)」を参照してください。
このセキュリティ更新プログラムは、マイクロソフト セキュリティ アドバイザリ 2588513 で最初に説明した脆弱性も解決します。
推奨する対応策: 自動更新を有効にしている大多数のお客様には、このセキュリティ更新プログラムが自動的にダウンロードおよびインストールされるため、特別な措置を講じる必要はありません。自動更新を有効にしていない場合、この更新プログラムを手動で確認し、インストールする必要があります。自動更新の具体的な構成オプションの詳細については、サポート技術情報 294871 を参照してください。
管理者およびエンタープライズのインストール、またはこのセキュリティ更新プログラムを手動でインストールしたいエンドユーザーは、更新プログラムの管理ソフトウェアまたは Microsoft Update サービスで更新プログラムを確認して、この更新プログラムをできる限り早期に適用することを推奨します。
このセキュリティ情報の後半の「検出および展開ツールとガイダンス」を参照してください。
既知の問題 マイクロソフト サポート技術情報 2643584 で、このセキュリティ更新プログラムをインストールする際に起こる可能性のある既知の問題に関して説明しています。また、これらの問題に対する推奨される解決策についても説明しています。
影響を受けるソフトウェアと影響を受けないソフトウェア
ここに記載されているソフトウェアをテストし、影響を受けるバージョンまたはエディションを確認しました。その他のバージョンまたはエディションはサポート ライフサイクルが終了したか、または影響を受けません。ご使用中のソフトウェアのバージョンまたはエディションのサポート ライフサイクルを確認するには、マイクロソフト サポート ライフサイクルの Web サイトを参照してください。
影響を受けるソフトウェア
| オペレーティング システム | 最も深刻な脆弱性の影響 | 総合的な深刻度 | この更新プログラムにより置き換えられるセキュリティ情報 |
|---|---|---|---|
| Windows XP Service Pack 3 (KB2585542) | 情報漏えい | 重要 | MS10-049 の KB980436 は KB2585542 に置き換えられます。 |
| Windows XP Professional x64 Edition Service Pack 2 (KB2585542) Windows XP Professional x64 Edition Service Pack 2 (KB2638806) | 情報漏えい | 重要 | MS10-049 の KB980436 は KB2585542 に置き換えられます。 KB2638806 に置き換えられるセキュリティ情報: なし |
| Windows Server 2003 Service Pack 2 (KB2585542) Windows Server 2003 Service Pack 2 (KB2638806) | 情報漏えい | 重要 | MS10-049 の KB980436 は KB2585542 に置き換えられます。 KB2638806 に置き換えられるセキュリティ情報: なし |
| Windows Server 2003 x64 Edition Service Pack 2 (KB2585542) Windows Server 2003 x64 Edition Service Pack 2 (KB2638806) | 情報漏えい | 重要 | MS10-049 の KB980436 は KB2585542 に置き換えられます。 KB2638806 に置き換えられるセキュリティ情報: なし |
| Windows Server 2003 with SP2 for Itanium-based Systems (KB2585542) Windows Server 2003 with SP2 for Itanium-based Systems (KB2638806) | 情報漏えい | 重要 | MS10-049 の KB980436 は KB2585542 に置き換えられます。 KB2638806 に置き換えられるセキュリティ情報: なし |
| Windows Vista Service Pack 2 (KB2585542) | 情報漏えい | 重要 | MS10-085 の KB2207566 は KB2585542 に置き換えられます。 |
| Windows Vista x64 Edition Service Pack 2 (KB2585542) | 情報漏えい | 重要 | MS10-085 の KB2207566 は KB2585542 に置き換えられます。 |
| Windows Server 2008 for 32-bit Systems Service Pack 2* (KB2585542) | 情報漏えい | 重要 | MS10-085 の KB2207566 は KB2585542 に置き換えられます。 |
| Windows Server 2008 for x64-based Systems Service Pack 2* (KB2585542) | 情報漏えい | 重要 | MS10-085 の KB2207566 は KB2585542 に置き換えられます。 |
| Windows Server 2008 for Itanium-based Systems Service Pack 2 (KB2585542) | 情報漏えい | 重要 | MS10-085 の KB2207566 は KB2585542 に置き換えられます。 |
| Windows 7 for 32-bit Systems (KB2585542) | 情報漏えい | 重要 | MS10-085 の KB2207566 および MS10-095 の KB2385678 は KB2585542 に置き換えられます。 |
| Windows 7 for 32-bit Systems Service Pack 1 (KB2585542) | 情報漏えい | 重要 | KB2585542 に置き換えられるセキュリティ情報: なし |
| Windows 7 for x64-based Systems (KB2585542) | 情報漏えい | 重要 | MS10-085 の KB2207566 および MS10-095 の KB2385678 は KB2585542 に置き換えられます。 |
| Windows 7 for x64-based Systems Service Pack 1 (KB2585542) | 情報漏えい | 重要 | KB2585542 に置き換えられるセキュリティ情報: なし |
| Windows Server 2008 R2 for x64-based Systems* (KB2585542) | 情報漏えい | 重要 | MS10-085 の KB2207566 および MS10-095 の KB2385678 は KB2585542 に置き換えられます。 |
| Windows Server 2008 R2 for x64-based Systems Service Pack 1* (KB2585542) | 情報漏えい | 重要 | KB2585542 に置き換えられるセキュリティ情報: なし |
| Windows Server 2008 R2 for Itanium-based Systems (KB2585542) | 情報漏えい | 重要 | MS10-085 の KB2207566 および MS10-095 の KB2385678 は KB2585542 に置き換えられます。 |
| Windows Server 2008 R2 for Itanium-based Systems Service Pack 1 (KB2585542) | 情報漏えい | 重要 | KB2585542 に置き換えられるセキュリティ情報: なし |
*Server Core インストールは影響を受けます。サポートされているエディションの Windows Server 2008 または Windows Server 2008 R2 では、Server Core インストール オプションを使用してインストールされているかどうかに関わらず、この更新プログラムの深刻度は同じです。このインストール オプションの詳細については、TechNet の記事 Server Core および Windows Server 2008 R2 の Server Core を参照してください。Windows Server 2008 および Windows Server 2008 R2 の特定のエディションでは、Server Core インストール オプションが使用できないことに注意してください。詳細については、Server Core インストール オプションの比較を参照してください。
このセキュリティ更新プログラムに関するよく寄せられる質問 (FAQ)
脆弱性の情報
深刻度および脆弱性識別番号
SSL および TLS プロトコルの脆弱性 - CVE-2011-3389
更新プログラムに関する情報
検出および展開ツールとガイダンス
セキュリティ更新プログラムの展開
関連情報
Microsoft Active Protections Program (MAPP)
サポート
- セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などがありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。マイクロソフトでは、お問い合わせの内容が弊社製品の不具合が原因である場合、無償でサポートをご提供いたします。利用可能なサポート オプションの詳細については、マイクロソフト サポート オンラインを参照してください。
- その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。マイクロソフトでは、お問い合わせの内容が弊社製品の不具合が原因である場合、無償またはインシデントの未消費にてサポートをご提供いたします。マイクロソフト プロダクト サポートへの連絡方法については、こちらを参照してください。
免責
この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。
更新履歴
- V1.0 (2012/01/11):このセキュリティ情報ページを公開しました。
- V1.1 (2012/01/25):このセキュリティ情報ページを更新し、Windows 7 for 32-bit Systems、Windows 7 for x64-based Systems、Windows Server 2008 R2 for x64-based Systems および Windows Server 2008 R2 for Itanium-based Systems 用の更新プログラム KB2585542 に置き換えられるセキュリティ情報として、MS10-085 を追加しました。今回の更新は情報のみの変更です。セキュリティ更新プログラムのファイルおよび検出ロジックへの変更はありません。