Microsoft セキュリティ アドバイザリ 3155527

公開日: 2016 年 5 月 10 日

バージョン: 1.0

FalseStart を使用すると、TLS クライアントは、サーバーの完了メッセージを受信して確認する前に、アプリケーション データを送信できます。 これにより、攻撃者は中間者 (MiTM) 攻撃を開始して、TLS クライアントがクライアントの一覧から選択した暗号スイートを使用してapplication_dataレコードの最初のフライトを暗号化することを強制できます。 ダウングレード攻撃を回避するために、TLS クライアントは、最も強力な暗号スイートがネゴシエートされた場合にのみ FalseStart を許可します。

このアドバイザリ更新プログラムは、FalseStart で使用できる暗号スイートの一覧の定期的なメインテナントを提供します。 この更新プログラムは、接続や相互運用性には影響しません。

詳細と展開のガイダンスについては、Microsoft サポート技術情報の記事3155527を参照してください。

アドバイザリの範囲は何ですか? 
FalseStart で使用できる暗号スイートの一覧に対する更新プログラムの可用性を発表します。

更新プログラムは何を行いますか? 
この更新プログラムは、FalseStart で使用できる暗号スイートの最新の一覧を提供します。 この更新プログラムは、接続や相互運用性には影響しません。

Microsoft は、連携した脆弱性の開示を通じてお客様を保護するのに役立つセキュリティ コミュニティの人々の取り組みを認識しています。 詳細については、「 受信確認 」を参照してください。

お客様のセキュリティ保護を強化するために、Microsoft は、毎月のセキュリティ更新プログラムのリリースの前に、主要なセキュリティ ソフトウェア プロバイダーに脆弱性情報を提供します。 セキュリティ ソフトウェア プロバイダーは、この脆弱性情報を使用して、ウイルス対策、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなどのセキュリティ ソフトウェアまたはデバイスを介して、お客様に更新された保護を提供できます。 セキュリティ ソフトウェア プロバイダーからアクティブな保護を利用できるかどうかを判断するには、Microsoft Active Protections Program (MAPP) パートナーに記載されているプログラム パートナーによって提供されるアクティブな保護 Web サイトを参照してください。

• Microsoft のヘルプとサポートフォーム、カスタマー サービスのお問い合わせフォームに入力することで、 フィードバックを提供できます。

• 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポートを受けることができます。 詳細については、Microsoft のヘルプとサポートを参照してください。
• 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 詳細については、国際サポートを参照してください。
• Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。

このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

• V1.0 (2016 年 5 月 10 日): アドバイザリが公開されました。

Page generated 2016-05-04 10:20-07:00.