Mozilla Foundation セキュリティアドバイザリ 2006-58
- タイトル
- DNS と SSL のなりすましを通じた自動更新の乗っ取り
- 重要度
- 中
- 公開日
- 2006/09/14
- 報告者
- Jon Oberheide
- 影響を受ける製品
- Firefox
- Thunderbird
- 修正済みのバージョン
- Firefox 1.5.0.7
- Thunderbird 1.5.0.7
概要
Firefox と Thunderbird の自動更新機能は、SSL を用いて DNS 偽装を防いでおり、aus2.mozilla.org の正当な証明書を示すサイトのみを更新情報の提供元として信頼するようになっています。しかし、多くのユーザが、「評価の低い」サイトについてよく考えずに、検証不可能な自己署名による証明書を受け入れており、これが更新機能に対する攻撃の基盤として利用される可能性のあることが、Jon Oberheide 氏によって指摘されました。
攻撃者は、被害者が意図したサイトではなく、攻撃者が用意したサイトへ接続させるため、被害者の DNS を偽装できる位置にいる必要があります。攻撃者が支配権を得て、被害者が Mozilla の更新サイトを装った攻撃者の証明書を受け入れた場合、次回の更新チェックが乗っ取られ、発覚することなく攻撃者のサイトにリダイレクトされます。それが成功すれば、攻撃者は、改変したいプログラムで構成される更新の内容を送りつけることができます。
回避策
検証不可能な (自己署名による) 証明書を正当なものとして受け入れてはいけません。どうしても受け入れる必要がある場合は、恒久的に許可するのではなく、そのセッションのみに限定してください。そのような証明書をセッション内で許可した場合は、更新を確認したりインストールする前に、ブラウザを完全に終了し再起動してください。
参考資料
https://bugzilla.mozilla.org/show_bug.cgi?id=340198
CVE-2006-4567