ニュース
「NSS」ライブラリに脆弱性、「Firefox」「Thunderbird」「Google Chrome」が更新
署名偽造攻撃を受ける恐れ
(2014/9/25 13:39)
クロスプラットフォーム対応のセキュア通信を実装したオープンソースライブラリ「Network Security Services(NSS)」に脆弱性が発見されたことを受け、Mozillaは24日、“NSS”ライブラリをアップデートした「Firefox」v32.0.3、「Thunderbird」v31.1.2などを公開した。また、米Google Inc.も同日、同じ理由から「Google Chrome」の最新安定版v37.0.2062.124をリリースしている。
「NSS」は、SSL/TSL通信機能をはじめとするセキュリティ機能をサーバーアプリケーションやクライアントアプリケーションへ追加するためのライブラリ。MozillaやGoogleの製品だけでなく、さまざまなオープンソースアプリケーションで利用されている。
今回発見された「NSS」の脆弱性(CVE-2014-1568)は、ASN.1記法で記述された署名データの解釈処理に問題があり、RSA証明書の偽造が可能になる恐れがあるというもの。かつてDaniel Bleichenbacher氏が発表した署名偽造攻撃の亜種に対して脆弱であるという。この問題はINRIA(フランス国立情報学自動制御研究所)のセキュリティ研究者Antoine Delignat-Lavaud氏によって報告されたほか、Intel Securityでも独自にこの問題を発見・報告している。
ソフトウェア情報
- 「Firefox」
-
- 【著作権者】
- contributors to the Mozilla Project
- 【対応OS】
- Windows XP/Server 2003/Vista/7/8および64bit版のVista/7など
- 【ソフト種別】
- フリーソフト(寄付歓迎)
- 【バージョン】
- 32.0.3(14/09/24)
- 「Thunderbird」
-
- 【著作権者】
- contributors to the Mozilla Project
- 【対応OS】
- Windows XP/Server 2003/Vista/7/8および64bit版のVista/7など
- 【ソフト種別】
- フリーソフト(寄付歓迎)
- 【バージョン】
- 31.1.2(14/09/24)
- 「Google Chrome」
-
- 【著作権者】
- Google Inc.
- 【対応OS】
- Windows XP/Vista/7/8/8.1および64bit版の7/8など
- 【ソフト種別】
- フリーソフト
- 【バージョン】
- 37.0.2062.124(14/09/24)
URL
- Mozilla Japan - 次世代ブラウザ Firefox とメールソフト Thunderbird
- http://mozilla.jp/
- MFSA 2014-73: RSA Signature Forgery in NSS
- https://www.mozilla.org/security/announce/2014/mfsa2014-73.html
- Chrome ブラウザ
- http://www.google.co.jp/chrome/
- Chrome Releases: Stable Channel Update
- http://googlechromereleases.blogspot.jp/2014/09/stable-channel-update_24.html
- Firefox - 窓の杜ライブラリ
- http://www.forest.impress.co.jp/library/software/firefox/
- Thunderbird - 窓の杜ライブラリ
- http://www.forest.impress.co.jp/library/software/thunderbird/
- Google Chrome - 窓の杜ライブラリ
- http://www.forest.impress.co.jp/library/software/googlechrome/
関連記事
(樽井 秀人)