[これは米国 Mozilla のブログ記事 Attack against TLS-protected communications の抄訳です]
問題
最近、TLS で保護された通信に対する情報解読攻撃について詳述した論文が、Juliano Rizzo、Thai Duong の両氏によって公開されました。この攻撃は Firefox 固有のものではなく、Firefox は初期設定では影響ありませんが、一部のプラグインは攻撃を受ける可能性があります。
ユーザへの影響
この中間者攻撃の応用に成功した場合、攻撃者は暗号化通信から情報を盗み出すことが可能となります。これには、攻撃者が被害者になりすませる Cookie のデータも含まれるおそれがあります。
状況
Firefox 自体はこの攻撃を受けません。Firefox は確かに TLS 1.0 (この脆弱性を含んだ TLS のバージョン) を使用してはいますが、攻撃の技術的な詳細 (英語) によれば、ブラウザに由来する通信の内容を完全に制御する方法が必要であり、Firefox はこれを許可していません。
しかしながら、この攻撃を実現する Java プラグインの脆弱性が攻撃者によって発見されています。Mozilla では、念のためアドオンマネージャで Java プラグインを無効化することをユーザの皆さんに推奨します。
- [ツール] メニューもしくは [Firefox] ボタンから [アドオン] を選択します。
- 新しいタブで開いたアドオンマネージャの中にある [プラグイン] パネルを選択します。
- Java プラグインを選択して [無効化] ボタンをクリックします。
Mozilla では現在、すべての Firefox ユーザの Java プラグインを強制的に無効化できないか検討しており、対応を行うことが決まったときはこの記事に追記します。
クレジット
この問題は、Juliano Rizzo、Thai Duong の両氏によって報告されました。