ニュース

「NSS」ライブラリに脆弱性、「Firefox」「Thunderbird」「Google Chrome」が更新

署名偽造攻撃を受ける恐れ

(2014/9/25 13:39)

「Firefox」v32.0.3

 クロスプラットフォーム対応のセキュア通信を実装したオープンソースライブラリ「Network Security Services(NSS)」に脆弱性が発見されたことを受け、Mozillaは24日、“NSS”ライブラリをアップデートした「Firefox」v32.0.3、「Thunderbird」v31.1.2などを公開した。また、米Google Inc.も同日、同じ理由から「Google Chrome」の最新安定版v37.0.2062.124をリリースしている。

 「NSS」は、SSL/TSL通信機能をはじめとするセキュリティ機能をサーバーアプリケーションやクライアントアプリケーションへ追加するためのライブラリ。MozillaやGoogleの製品だけでなく、さまざまなオープンソースアプリケーションで利用されている。

 今回発見された「NSS」の脆弱性(CVE-2014-1568)は、ASN.1記法で記述された署名データの解釈処理に問題があり、RSA証明書の偽造が可能になる恐れがあるというもの。かつてDaniel Bleichenbacher氏が発表した署名偽造攻撃の亜種に対して脆弱であるという。この問題はINRIA(フランス国立情報学自動制御研究所)のセキュリティ研究者Antoine Delignat-Lavaud氏によって報告されたほか、Intel Securityでも独自にこの問題を発見・報告している。

ソフトウェア情報

「Firefox」
【著作権者】
contributors to the Mozilla Project
【対応OS】
Windows XP/Server 2003/Vista/7/8および64bit版のVista/7など
【ソフト種別】
フリーソフト(寄付歓迎)
【バージョン】
32.0.3(14/09/24)
「Thunderbird」
【著作権者】
contributors to the Mozilla Project
【対応OS】
Windows XP/Server 2003/Vista/7/8および64bit版のVista/7など
【ソフト種別】
フリーソフト(寄付歓迎)
【バージョン】
31.1.2(14/09/24)
「Google Chrome」
【著作権者】
Google Inc.
【対応OS】
Windows XP/Vista/7/8/8.1および64bit版の7/8など
【ソフト種別】
フリーソフト
【バージョン】
37.0.2062.124(14/09/24)

URL

Mozilla Japan - 次世代ブラウザ Firefox とメールソフト Thunderbird
http://mozilla.jp/
MFSA 2014-73: RSA Signature Forgery in NSS
https://www.mozilla.org/security/announce/2014/mfsa2014-73.html
Chrome ブラウザ
http://www.google.co.jp/chrome/
Chrome Releases: Stable Channel Update
http://googlechromereleases.blogspot.jp/2014/09/stable-channel-update_24.html
Firefox - 窓の杜ライブラリ
http://www.forest.impress.co.jp/library/software/firefox/
Thunderbird - 窓の杜ライブラリ
http://www.forest.impress.co.jp/library/software/thunderbird/
Google Chrome - 窓の杜ライブラリ
http://www.forest.impress.co.jp/library/software/googlechrome/

関連記事

(樽井 秀人)

窓の杜 トップページ