2004年07月28日(水) 23時32分

Webブラウザー「Mozilla」「Firefox」にSSL証明書を偽装できる脆弱性が発見（impress Watch）

　デンマークのセキュリティベンダー会社Secuniaは26日（現地時間）、Webブラウザー「Mozilla」と「Firefox」にSSL証明書を偽装できる脆弱性が存在することを公表した。

　脆弱性の具体的内容は、onunload関数を用いて特別に細工を施したWebページを閲覧すると、信頼されている別のWebサイトからSSL証明書を自動でダウンロードできてしまうため、あたかも信頼できるWebサイトにSSL接続しているかのように偽装できるという。

　なお、本脆弱性が確認されたのは「Mozilla」v1.7.1と「Firefox」0.9.2であるが、それ以外のバージョンにおいても影響を受ける可能性があるとしている。また現在、本脆弱性を修正したバージョンの「Mozilla」および「Firefox」は公開されていない。

□Secunia - Advisories - Mozilla / Mozilla Firefox "onunload" SSL Certificate Spoofing

http://secunia.com/advisories/12160/

□mozilla.org - home of mozilla, firefox, thunderbird, and camino

http://www.mozilla.org/

□窓の杜 - Mozilla

http://www.forest.impress.co.jp/lib/inet/browser/webbrowser/mozilla.html

□窓の杜 - Firefox

http://www.forest.impress.co.jp/lib/inet/browser/webbrowser/firefox.html

（中井 浩晶）（impress Watch）

http://headlines.yahoo.co.jp/hl?a=20040728-00000028-imp-sci