現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2015-13

Mozilla Foundation セキュリティアドバイザリ 2015-13

タイトル: ホスト名へ付加されたピリオドによって HPKP と HSTS の保護が回避される
重要度:
公開日: 2015/02/24
報告者: Muneaki Nishimura
影響を受ける製品: Firefox、SeaMonkey、Firefox OS

修正済みのバージョン: Firefox 36
  Seamonkey 2.33
  Firefox OS 2.2

概要

証明書のピンニングが「厳格」モードに設定されていた場合に、サイトアドレス内のホスト名に付加されたピリオド (.) によってキーピンニング (HPKP) と HTTP Strict Transport Security (HSTS) が回避されてしまうことが、セキュリティ研究者の Muneaki Nishimura 氏によって報告されました。ピリオドが付加されたサイトは、ピリオドのないサイトとは別のオリジンを持つものとして扱われていました。攻撃者がそのピリオドが付加されたドメインのセキュリティ証明書を持っていた場合、この問題はユーザに対する中間者 (MITM) 攻撃に悪用される恐れがありました。

参考資料