「POODLE」と呼ばれるこの脆弱性を悪意のある第三者が利用すると、暗号文を解読してCookieを盗み出すなどの行為が可能となり、それによって各種アカウントなどへアクセスされてしまう可能性があるとのことです。
この発表を受けて、Mozillaは11月25日リリースのFirefox 34.0にてSSLv3をサポートしない旨をアナウンスしていますが、現行Firefoxではユーザー自らがSSLv3を無効化しなければなりません。
この脆弱性を利用するには高度な知識が必要で、攻撃を受ける可能性は低いと考えられていますが、心配なユーザーは以下の方法で現行FirefoxのSSLv3を無効化することができます。
1.about:configを開く。
2.検索欄に[security.tls.version.min]と入力する。
3.表示された[security.tls.version.min]をダブルクリックして表示されるダイアログ内の数値を[1]に変更してOKで閉じる。
これで暗号化プロトコルにTLS1.0を利用することができるようになります。
なお、about:configを触るのが不安だという方は、「Disable SSL 3.0」というアドオンをインストールすることで、同様の変更を自動的に行うことができるほか、「SSL Version Control」というアドオンを使えば、暗号化プロトコルのバージョンを自分で決めて変更することができます。
また、IEを利用される場合はこちらの公式ページにIEでアクセスし、「Internet Explorer で SSL 3.0 を無効にする」というボタンをクリックすることでSSL 3.0を無効化することができます。(同ページで復元も可能です。)
今月中には無効化されるとはいえ、少しの期間でも安全を保ちたいという方は、設定、およびアドオンの導入などを行ってみてはいかがでしょうか。
ダウンロード:Disable SSL 3.0(Add-ons for Firefox)[再起動不要]
ダウンロード:SSL Version Control(Add-ons for Firefox)[再起動不要]
<関連記事>
■Firefoxの混在SSLコンテンツブロック機能をワンタッチで有効/無効化できるアドオン「Toggle Mixed Active Content」
■サイトにSSL接続が用意されているかを自動的に検出してくれるFirefoxアドオン「HTTPS Finder」
■暗号化されたページが本物かどうかを見分けることができるFirefoxアドオン「Petname Tool」
■サイトの接続状態をボタンに表示し、ワンタッチで暗号化接続することができるFirefoxアドオン「SSL Button」
■プロトコルの状態に応じてFirefoxのタブを色分けしてくれるアドオン「Security Tab Colorizer」
ツイート
