[FREAK] 安全公告3046015「Schannel漏洞导致安全功能绕过」发布

日本安全团队
2025年3月5日 · 5分钟阅读

3月11日更新

我们已通过MS15-031「Schannel漏洞导致安全功能绕过」发布了解决该漏洞的安全更新程序。

如果在已应用安全公告3046015中所述初始缓解措施的系统上应用MS15-031的安全更新3046049，可能会导致大多数互联网服务不可用。 ※ 已执行安全公告3046015中缓解措施的客户，在应用MS15-031发布的安全更新程序前，请先解除缓解措施。

参考：「2015年3月安全公告（月度）- MS15-018 至 MS15-031」

2015年3月6日，我们发布了安全公告3046015「Schannel漏洞导致安全功能绕过」。（日文版网站将在准备就绪后发布。）3月6日追加：日文版网站已发布。 微软已确认影响所有受支持Microsoft Windows版本的Secure Channel（Schannel）安全功能绕过漏洞。该漏洞是业界广泛影响的漏洞，通常称为FREAK（Factoring attack on RSA-EXPORT Keys，RSA导出密钥的因式分解攻击）。

需要注意的是，在当前已确认的攻击方法中，成功攻击的必要条件是服务器支持导出用RSA密钥交换的加密套件。Windows服务器在默认设置中不使用导出用RSA密钥交换的加密套件，因此不受攻击影响。（3月6日追加：Windows Server 2003除外）

在此安全公告发布时，微软尚未收到任何表明此问题已被公开用于攻击客户的信息。 微软正在持续调查此漏洞的影响，并计划在调查完成后采取适当措施保护客户。

受影响的产品

所有受支持的Microsoft Windows版本

在当前已确认的攻击方法中，成功攻击的必要条件是服务器支持导出用RSA密钥交换的加密套件。Windows服务器在默认设置中不使用导出用RSA密钥交换的加密套件，因此不受攻击影响。（3月6日追加：Windows Server 2003除外）

推荐措施

请查阅安全公告3046015，并考虑实施必要的缓解措施。

更新历史

• 3月6日：发布了本信息
• 3月6日：追加了日文网站发布的通知；追加说明了除Windows Server 2003外，Windows服务器默认设置中不使用导出用RSA密钥交换的加密套件。