Mozilla／Firefoxには証明書偽造の脆弱性

[ITmedia]

　オープンソースのWebブラウザ「Mozilla」「Mozilla Firefox」に、電子証明書の偽造を許す脆弱性が存在することが報告された。

　証明書は、SSLによる暗号化通信を行う際に、相手が信頼できるサイトであることを示すもの。ところがMozilla／Mozilla Firefoxのキャッシュ機構に問題があり、細工を施すことで、実際には悪意あるWebサイトにアクセスしているのに、信頼できるサイトの証明書を表示させることができるという。SSL通信を行っていることを示すブラウザ上の「鍵」マークも表示される。

　これを悪用すれば、自身で証明書を取得していなくても、他者の証明書を借用、偽造して、信頼できるサイトのように見せかけることができる。ただし、アドレスバーのURL表示までは偽造されない。

　Secuniaによるとこの脆弱性は、Windows版Mozilla 1.7.1およびFirefox 0.9.2、Linux版Firefox 0.9.1で確認された。他のバージョンにも同様の脆弱性が存在する可能性があるという。

　今のところこの問題を修正するパッチは公開されていない。当面の回避策としては、信頼できないWebサイトのリンクはクリックしない、SSL認証を行う際にはアドレスバー表示を確認してURLをチェックする、といった項目が挙げられる。