ニュース
「NSS」ライブラリに脆弱性、「Firefox」「Thunderbird」「Google Chrome」が更新
署名偽造攻撃を受ける恐れ
(2014/9/25 13:39)
クロスプラットフォーム対応のセキュア通信を実装したオープンソースライブラリ「Network Security Services(NSS)」に脆弱性が発見されたことを受け、Mozillaは24日、“NSS”ライブラリをアップデートした「Firefox」v32.0.3、「Thunderbird」v31.1.2などを公開した。また、米Google Inc.も同日、同じ理由から「Google Chrome」の最新安定版v37.0.2062.124をリリースしている。
「NSS」は、SSL/TSL通信機能をはじめとするセキュリティ機能をサーバーアプリケーションやクライアントアプリケーションへ追加するためのライブラリ。MozillaやGoogleの製品だけでなく、さまざまなオープンソースアプリケーションで利用されている。
今回発見された「NSS」の脆弱性(CVE-2014-1568)は、ASN.1記法で記述された署名データの解釈処理に問題があり、RSA証明書の偽造が可能になる恐れがあるというもの。かつてDaniel Bleichenbacher氏が発表した署名偽造攻撃の亜種に対して脆弱であるという。この問題はINRIA(フランス国立情報学自動制御研究所)のセキュリティ研究者Antoine Delignat-Lavaud氏によって報告されたほか、Intel Securityでも独自にこの問題を発見・報告している。
ソフトウェア情報
- 「Firefox」
- 【著作権者】
- contributors to the Mozilla Project
- 【対応OS】
- Windows XP/Server 2003/Vista/7/8および64bit版のVista/7など
- 【ソフト種別】
- フリーソフト(寄付歓迎)
- 【バージョン】
- 32.0.3(14/09/24)
- 「Thunderbird」
- 【著作権者】
- contributors to the Mozilla Project
- 【対応OS】
- Windows XP/Server 2003/Vista/7/8および64bit版のVista/7など
- 【ソフト種別】
- フリーソフト(寄付歓迎)
- 【バージョン】
- 31.1.2(14/09/24)
- 「Google Chrome」
- 【著作権者】
- Google Inc.
- 【対応OS】
- Windows XP/Vista/7/8/8.1および64bit版の7/8など
- 【ソフト種別】
- フリーソフト
- 【バージョン】
- 37.0.2062.124(14/09/24)