Mozilla に証明書詐称の脆弱性

2004年7月27日(火) 23時43分 by level
B ?

MozillaNews によると、Mozilla および Firefox に証明書詐称の脆弱性が発見されたそうです(bug 253121)。このテストケースを表示すると、確かに bugzilla.mozilla.org を表示しているにもかかわらず左下に鍵のマークが表示されたままになっています(この鍵マークは PayPal のページから盗まれたものです)。

証明書詐称

ページ情報のセキュリティを表示してみるとご覧のとおりです。

証明書詐称:ページの情報

Secunia のランクは「中度の危険性」(5段階の下から真ん中)です。

追加情報

Mozilla FoundationのエンジニアリングディレクターChris Hofmannは、「このセキュリティコードは6~7年前から存在しており、深刻なバグはNetscape 4.0のときに解決されていた。深刻な問題はかなり長い間見つかっていなかったので、今回は驚いた」と語った。

もう一つの問題は bug 249004 で、DoS 攻撃に悪用されるとか。Secunia のランクは less critical (5段階の下から2番目)

Mozilla 1.7.2、Mozilla 1.4.3、Firefox 0.9.3 がリリースされそうな雰囲気です。

コメント (5)

2 7/28 07:39 ふぅ
(c2) [2004/07/28 07:39:37] by ふぅ

テストページのソースを見た感じ
では、 Javascript を OFF にし
ておけば、この脆弱性の影響を受
けない、と判断しましたが、その
解釈で問題なしでしょうか?

3 7/28 12:35 level
(c3) [2004/07/28 12:35:26] by level

そのようですね。
すでに修正は完了しました。

もうひとつ、脆弱性が見つかって、こちらも修正済みとのことです。
http://mozillanews.org/?article_date=2004-07-27+20-42-32

このところ、Mozilla 周辺では、セキュリティバグは如何に
早く直すかというのがトレンドのようです。

今回は危険度中レベルなので、修正版のリリースは無しでしょうか。

4 7/28 12:59 fumika
(c4) [2004/07/28 12:59:05] by fumika

もう修正完了ですか。素早いですねー。

Mozilla News の記事では、"Patched versions of the Suite and Firefox will be available soon." となっているので、もうじき修正版がリリースされる見たいですね。

6 7/28 19:55 ふぅ
(c6) [2004/07/28 19:55:32] by ふぅ

素早い対応でしたねぇ…。
対策版のリリースが待ち遠しいところです。

今回の件のニュースはこれくらい?

Mozilla/Firefox には証明書偽造の脆弱性
http://www.itmedia.co.jp/enterprise/articles/0407/28/news028.html
Mozilla ブラウザに証明書関係の欠陥みつかる(CNET Japan の記事と同じ)
http://www.itmedia.co.jp/enterprise/articles/0407/28/news035.html
Mozilla ブラウザに証明書関係の欠陥みつかる
http://japan.cnet.com/news/sec/story/0,2000050480,20070084,00.htm


7 7/30 21:09 不断
(c7) [2004/07/30 21:09:09] by 不断

Bug 253121 については、28日付けの Nightly Build で修正されているようです。

http://forums.mozillazine.org/viewtopic.php?t=106340
| Fixes: OS in []
| 2. BOTH:#253121 lock icon and certificates spoofable with onunload document.write [All]


また、 Bug 249004 については、29日付の Nightly Build で修正されているようです。

http://forums.mozillazine.org/viewtopic.php?t=106795
| Fixes: OS in []
| 9. BRANCH:SECURITY:#249004 Importing false CA certificate leading to error -8182 (perm DoS), especially exploitable by email [All]

トラックバック (1)

トラックバックは検索対象外です。