現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2015-67

Mozilla Foundation セキュリティアドバイザリ 2015-67

タイトル: 上書き可能なエラーが生じた場合にキーピンニングが無視される
重要度:
公開日: 2015/07/02
報告者: David Keeler
影響を受ける製品: Firefox、Firefox ESR、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 39
  Firefox ESR 38.1
  Thunderbird 38.1
  SeaMonkey 2.35

概要

期限切れ証明書や証明書とホスト名の不一致など、上書き可能なエラーが生じた場合、ピンニングの確認がスキップされてしまう可能性のあることが、Mozilla のセキュリティエンジニア David Keeler によって報告されました。これにより、本来不可能な場合にもピン留めされた証明書がユーザによって上書きされてしまう恐れがありました。この問題では、第三者によって証明書が上書きされることはなく、ユーザが手作業で上書きする手順が必要となります。

Thunderbird では JavaScript が初期設定で無効になっているため、一般的にメールを通じたこれらの脆弱性の悪用は不可能です。ただしこれらの製品でも、ブラウザもしくはブラウザに類似した機能を利用した場合、潜在的なリスクが生じます。

参考資料