現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2014-80

Mozilla Foundation セキュリティアドバイザリ 2014-80

タイトル: キーピンニングの回避
重要度:
公開日: 2014/10/14
報告者: Patrick McManus、David Keeler
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 33
  Seamonkey 2.30

概要

SPDY あるいは HTTP/2 接続の組み合わせを使用して、同一 IP アドレスへ解決される別サイト上のキーピンニングを回避する方法が、Mozilla の開発者 Patrick McManus によって報告されました。これは、そのサブドメイン用に保存されたピンによって接続が中止されるべき場合において、不正な証明書の使用を許す恐れがありました。攻撃者が DNS 接続の管理権限を得た上で、ピンが見つからない場合にブラウザが受け入れる不正な証明書を取得できた場合、中間者攻撃につながる可能性がありました。

SSL 証明書の発行者検証時に特定の問題が発生した場合、キーピンニングに必要とされるチェックが実行されないことが、Mozilla のセキュリティエンジニア David Keeler によって発見されました。結果として、ピンニングされるべきサイトのキーピンニングプロセスを回避できる「信頼できない接続」エラーページがそれ以降ユーザに表示されます。このエラーメッセージは常にユーザへ表示されるため、影響を受けるサイト上で密かにキーピンニングを回避することはできません。

キーピンニングは Firefox 32 で初めて導入され、今のところ少数の組み込みサイトのみ対応しています。

参考資料