現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2015-39

Mozilla Foundation セキュリティアドバイザリ 2015-39

タイトル: Android 上での不十分な PRNG による DNS ポイズニング
重要度:
公開日: 2015/03/31
報告者: Daniel Stenberg
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 37

概要

Android 版 Firefox の DNS リゾルバが、固有識別子のための無作為な数字の生成に不十分なランダムアルゴリズムを採用していることが、Mozilla 開発者の Daniel Stenberg によって報告されました。これは Bionic libc ライブラリの旧バージョンに由来するもので、Roee Hay、Roi Saltzman 両氏による解説 にある通り、疑似乱数生成器 (PRNG) における不十分な無作為性の影響を受けていました。

これにより、使用される識別子を攻撃者が予測できる可能性があって Web サイト偽装や Cookie 盗難を許しかねず、Android 版 Firefox が DNS ポイズニング攻撃に対して潜在的に脆弱な状態に置かれていました。

この脆弱性は Mozilla 製品のデスクトップ版には影響せず、Android 版 Firefox にのみ影響します。

参考資料