「NSS」ライブラリに脆弱性、「Firefox」「Thunderbird」「Google Chrome」が更新

「Firefox」v32.0.3

　クロスプラットフォーム対応のセキュア通信を実装したオープンソースライブラリ「Network Security Services（NSS）」に脆弱性が発見されたことを受け、Mozillaは24日、“NSS”ライブラリをアップデートした「Firefox」v32.0.3、「Thunderbird」v31.1.2などを公開した。また、米Google Inc.も同日、同じ理由から「Google Chrome」の最新安定版v37.0.2062.124をリリースしている。

　「NSS」は、SSL/TSL通信機能をはじめとするセキュリティ機能をサーバーアプリケーションやクライアントアプリケーションへ追加するためのライブラリ。MozillaやGoogleの製品だけでなく、さまざまなオープンソースアプリケーションで利用されている。

　今回発見された「NSS」の脆弱性（CVE-2014-1568）は、ASN.1記法で記述された署名データの解釈処理に問題があり、RSA証明書の偽造が可能になる恐れがあるというもの。かつてDaniel Bleichenbacher氏が発表した署名偽造攻撃の亜種に対して脆弱であるという。この問題はINRIA（フランス国立情報学自動制御研究所）のセキュリティ研究者Antoine Delignat-Lavaud氏によって報告されたほか、Intel Securityでも独自にこの問題を発見・報告している。