サイバーセキュリティ＆人工知能研究所

Chrome の POODLE 対策

Chrome における SSL v3 脆弱性対策

2014/10/15 : Security

Google から、SSL v3 の脆弱性が報告されました。

「This POODLE bites: exploiting the SSL 3.0 fallback」
http://googleonlinesecurity.blogspot.jp/2014/10/this-poodle-bites-exploiting-ssl-30.html

脆弱性の詳細は上記を確認していただくとして、何も対策せずに Google Chrome で、Google の Poodle Test にアクセスしてみると、・・・

プードルが表示されて「Vulnerable!(脆弱性あり)」と言われます。

対策方法としては、

① Chrome のショートカットを右クリックして「プロパティ」を開いて、
②「ショートカット」タブの「リンク先」の入力エリアの「chrome.exe」の記述を、
③「chrome.exe --ssl-version-min=tls1」に変更します。

これで先ほどの Poodle Test にアクセスしてみると、・・・
今度はプードルじゃない犬が表示されて「Not vulnerable!(脆弱性なし)」と言われます。

以下に、他の環境での対策も追記しておきます。

[IE11]
インターネットオプションの詳細設定タブを開いて、「セキュリティ」のツリーにある「SSL 3.0 を使用する」のチェックを外す。

[Firefox]
about:config で security.tls.version.min を 1 に変更する。

[Java]
Java コントロールパネルの詳細タブを開いて、「高度のセキュリティ設定」のツリーにある「SSL 3.0 を使用する」のチェックを外す。

---

記述に際しては、細心の注意をしたつもりですが、間違いやご指摘がありましたら、こちらからお知らせいただけると幸いです。

→「不正アクセス IP アドレスリスト」
←「不正アクセス IP アドレスリスト」


«　戻る