ニュース

「Mozilla VPN」にOAuthセッションフィクセーションの脆弱性

サーバー側で緩和済み。クライアントアプリにも追加の対策を提供

「Mozilla VPN」

 Mozillaは11月4日(米国時間)、「Mozilla VPN」に脆弱性が存在することを明らかにした。Windows/Android/iOS版に影響する。

 Mozillaが公開したセキュリティアドバイザリによると、「Mozilla VPN」のログインフローにはOAuthセッションフィクセーション(session fixation)の脆弱性(CVE-2020-15679)がある。攻撃者と被害者が同じソースIPを共有している場合に限定されるものの、細工を施したカスタムログインURLでログインさせることにより、そのユーザーとして認証されたアクセスを奪うことができてしまうとして、深刻度は4段階中下から2番目の“Moderate”と評価されている。

 この問題はサーバー側の修正で緩和されているが、クライアントアプリでも追加の修正が施されている。利用中の場合は、以下のバージョンへのアップデートが必要だ。

  • Mozilla VPN Android 1.1.0
  • Mozilla VPN iOS 1.0.7
  • Mozilla VPN Windows 1.2.2

 「Mozilla VPN」は、Mozillaが運営する有償のVPNサービス。現在のことろ、米国、英国、カナダ、ニュージーランド、シンガポール、マレーシアで提供されている。