「Firefox」のアドオン更新機能に脆弱性、「Tor Browser」が一足先にアップデート

公式ブログ“Mozilla Security Blog”

　Mozillaは16日（太平洋夏時間、以下同）、公式ブログ“Mozilla Security Blog”で、「Firefox」が特定条件下で中間者攻撃（man-in-the-middle attack）に対して脆弱であることを明らかにした。修正版は20日にリリースされる予定。

　同ブログによると、「Firefox」のリリースの際に行われていた公開鍵ピンニングのプリロードプロセスに欠陥があり、「Firefox 48」と「Firefox ESR 45.3.0」でアドオンのアップデートにおけるピンニングが無効になっていたという。最悪の場合、誤発行されたMozillaのWebサイトの証明書を入手した攻撃者が、悪意あるアドオンのアップデートを配布できるようになる恐れがある。MozillaはHTTPS経由でインストールされた「Firefox」アドオンの自動アップデートを行ったほか、念のため誤発行された証明書への対策を実施したという。

　なお、本脆弱性はアドオンのアップデートに関わるものであるため、「Firefox」にアドオンがインストールされていない場合は影響をうけない。

「Tor Browser」v6.0.5

　しかし、「Firefox」の派生ブラウザーである「Tor Browser」では、いくつかのアドオンが初期状態でインストールされているため、セットアップした直後の状態ですでに危険だ。そのため「Tor Browser」に関しては、本家「Firefox」に先立ち修正版となるv6.0.5がリリースされている。

　「Tor Browser」は、接続経路の匿名化を実現する技術“Tor”が組み込まれた「Firefox」ベースのWebブラウザー。Windows/Mac/Linuxに対応する寄付歓迎のフリーソフトで、現在“Tor Project”のWebサイトからダウンロードできる。