【翻訳】Firefox AddressSanitizer ビルドの配布場所が変更になりました
この記事は、2016 年 9 月 9 日付で Mozilla Security Blog に投稿された Firefox AddressSanitizer builds have been moved(筆者: decoder)の翻訳です。この翻訳は公式なものではありません。詳しくはこちらをご覧ください。
今回のお知らせは、AddressSanitizer (ASan) を組み込んだプレビルド版の Firefox を使用しているセキュリティ研究者の皆さんに向けたものです。ASan ビルド版は Mozilla の FTP サーバから先日までダウンロードできましたが、内部ビルドインフラの変更により配布場所が変わります。今後は TaskCluster というビルドシステムからダウンロードできます。ほとんどの場合、テスト目的であれば最新版のビルドで十分です。最新版のダウンロードは以下のリンクから簡単に行えます。
Firefox AddressSanitizer ビルドの最新版
TaskCkuster の公開 API を利用すれば、より詳細なクエリをシステムに発行することができます(例:過去のビルドの取得)。詳しくは こちらのドキュメント を参照してください。
【翻訳】アドオンのピン留めに関する脆弱性とセキュリティ更新
この記事は、2016 年 9 月 16 日付で Mozilla Security Blog に投稿された Update on add-on pinning vulnerability(筆者: Selena Deckelmann)の翻訳です。この翻訳は公式なものではありません。詳しくはこちらをご覧ください。
Firefox と Tor Browser が特殊な条件下で「中間者攻撃」(MITM)に脆弱であることが、今週(訳注:2016 年 9 月第 3 週)の初めにセキュリティ研究者によって報告されました。Firefox はインストール済みのアドオンを HTTPS 通信で自動的に更新しますが、証明書の誤発行に対する追加対策として、Firefox は Mozilla の web サイトの証明書も「ピン留め」しています。そのため、Mozilla の更新サイトを騙った未認証の証明書を攻撃者が取得できた場合でも、アドオンの更新過程を危殆化させることはできません。
Firefox のリリース時に "Preloaded Public Key Pinning" を更新する過程に隙があったため、2016 年 9 月 10 日以降の Firefox 48、そして 2016 年 9 月 3 日以降の Firefox ESR 45.3.0 において、アドオン更新時に参照すべきピン留めが無効になっていました。その時点において、Mozilla の web サイトとして誤発行された証明書を取得できた攻撃者であれば、自身の掌握するネットワーク上にいる任意のユーザに対して、アドオンの更新時に悪意のある内容を受信させることが可能でした。
アドオンを何もインストールしていないユーザに影響はありません。しかしながら、Tor Browser はアドオンを含んでいるため、Tor Browser の全ユーザは脆弱である可能性があります。悪意のある証明書の存在は現時点まで確認できておらず、そのような証明書を取得するには認証局をハッキングないし危殆化させる必要があります。しかし今回の事案は、国家レベルの攻撃から保護されたい Tor ユーザにとっては懸念事項と思います。Tor Project はセキュリティ更新を金曜(2016 年 9 月 16 日)の初めにリリースしており、Mozilla は Firefox の修正版を 9 月 20 日(火)にリリースします。
Firefox を最近更新していないユーザのため、アドオンの更新サーバに Public Key Pinning Extension for HTTP(HPKP)も適用しました。毎日行われるアドオンの更新確認の際に新しいピン留めが適用されるため、それ以降のユーザは攻撃から保護されることになります。
