現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2013-103

Mozilla Foundation セキュリティアドバイザリ 2013-103

タイトル: Network Security Services (NSS) の様々な脆弱性
重要度: 最高
公開日: 2013/11/15
影響を受ける製品: Firefox、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 25.0.1
  Firefox ESR 24.1.1
  Firefox ESR 17.0.11
  Thunderbird 24.1.1
  Thunderbird ESR 17.0.11
  SeaMonkey 2.22.1

概要

Mozilla プロジェクトで使用されている Network Security Services (NSS) ライブラリ のバージョンを 3.15.3 へ更新しました。ただし ESR 17 ベースのリリースについては例外として NSS 3.14.5 への更新となります。このバージョンでは、中から最高と評価された複数のネットワーク関連のセキュリティ問題が修正されています。

潜在的に悪用可能なバッファオーバーフローが Google の開発者 Andrew Tinits 氏によって報告され、NSS 3.15.3 と 3.14.5 の両方で修正されました。

証明書の検証時に verifylog 機能が使用されると非互換キー使用定数が拒絶されないことが、Mozilla の開発者 Camilo Viecco によって発見されました。これは直接 Firefox に影響するものではありませんが、NSS ライブラリを使用している他のソフトウェアに影響する可能性がありました。

64 ビットコンピュータ上での証明書解析時に memset 関数が暴走し、4 GB の NULL を書き込もうとしてクラッシュにつながることが、Google のセキュリティ研究者 Tavis Ormandy 氏によって報告されました。

同じ整数切り捨てに影響する Netscape Portable Runtime (NSPR) ライブラリ コードの問題が、Pascal Cuoq 氏、RedHat の開発者 Kamil Dudka 氏、Google の開発者 Wan-Teh Chang 氏によって個別に報告されました。

NSS の暗号スイート提示における RC4 の優先度を下げることで、RC4 に代わるより安全な暗号がサーバによって選択される可能性を高めました。これは、Nadhem AlFardanDan BernsteinKenny PatersonBertram PoetteringJacob Schuldt の各氏による共同論文「On the Security of RC4 in TLS」の中で指摘されている問題を解決するのに役立ちます。