現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2015-15

Mozilla Foundation セキュリティアドバイザリ 2015-15

タイトル: TLS TURN と STUN への接続が許可なく単純な TCP 接続に切り替えられる
重要度:
公開日: 2015/02/24
報告者: Alexander Kolesnik
影響を受ける製品: Firefox、Firefox OS

修正済みのバージョン: Firefox 36
  Firefox OS 2.2

概要

Mozilla プラットフォームが TURN サーバや STUN サーバへの TLS 接続にまだ対応していない一方で、WebRTC 実装が turns:stuns: の URI を受け入れており、それらが使用された場合にサーバへの平文接続を試みることが、セキュリティ研究者の Alexander Kolesnik 氏によって報告されました。接続が暗号化されないため、これは中間者 (MITM) 攻撃を通じた機密情報の漏洩につながる恐れがありました。

参考資料