現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2015-44

Mozilla Foundation セキュリティアドバイザリ 2015-44

タイトル: HTTP/2 Alt-Svc ヘッダを通じた証明書検証の回避
重要度: 最高
公開日: 2015/04/03
報告者: Muneaki Nishimura
影響を受ける製品: Firefox、SeaMonkey

修正済みのバージョン: Firefox 37.0.1
  SeaMonkey 2.35

概要

Mozilla の HTTP Alternative Services 実装に関する脆弱性が、セキュリティ研究者の Muneaki Nishimura 氏によって発見されました。HTTP/2 レスポンスで Alt-Svc ヘッダが指定されていた場合、その指定された代替サーバの SSL 証明書検証が回避される恐れがありました。その結果、攻撃者が正規の証明書を独自のものに置き換えても不正な SSL 証明書の警告が表示されず、中間者 (MITM) 攻撃を通じて他のサイトになりすますことも潜在的に可能な状態でした。

参考資料