Mozilla Foundation セキュリティアドバイザリ 2009-48

タイトル: PKCS11 モジュールのインストールと削除に関する不十分な警告
重要度:
公開日: 2009/09/09
報告者: Jesse Ruderman, Dan Kaminsky
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 3.0.14

概要

pkcs11.addmodule もしくは pkcs11.deletemodule を通じてセキュリティモジュールが追加、削除される際、表示されるダイアログに十分な情報が含まれていないことが、Mozilla セキュリティ研究者の Jesse Ruderman 氏によって報告されました。適切な警告が行われない場合、攻撃者が被害者に対し悪質な PKCS11 モジュールをインストールするよう仕向けて、被害者が使用しているブラウザ上で暗号化の完全性に影響を及ぼすおそれがありました。

この問題が Firefox 3.0 で修正されておらず、特定の状況で pkcs11 モジュールがリモートの場所からインストールされる可能性のあることが、セキュリティ研究者の Dan Kaminsky 氏によって報告されました。

Firefox 3.5 はこの問題の影響を受けません。

参考資料