Mozilla Japan ブログ

Mozilla、Firefox、Thunderbird の最新情報をお伝えします

個別記事アーカイブ

Firefox のセキュリティアップデート (3.6.16/3.5.18) を公開しました

Mozilla は本日、Firefox 3.6 と Firefox 3.5 のセキュリティアップデートを公開しました。すべてのユーザに、これらの最新版への更新か、新しいメジャーバージョン Firefox 4 へのアップグレードを強く推奨します。

現在すでに Firefox をお使いの場合、48 時間以内に自動更新機能による通知が表示されます。また、[ヘルプ] メニューから [ソフトウェアの更新を確認] を選択すれば、即座に更新を行うことができます

Firefox 3.5 のサポートは 2010 年 8 月で終了予定でした。現在の延長サポートは予告なく終了する可能性があります。また、Firefox 3.6 のサポートは Firefox 4 の公開から 6 か月後に終了します。これらの旧バージョンをお使いの方は、早めに Firefox 4 へアップグレードしてください。Firefox 3.6.16 もしくは 3.5.18 へ更新後、再度 [ソフトウェアの更新を確認] を選択すれば、数クリックでアップグレードできます。

今回公開した最新版では、いくつかの不正な HTTPS 証明書をブラックリストへ追加しました。Firefox 4 はリリース候補版でこの問題に対応済みです。詳しくは、以下に掲載する米国 Mozilla Security Blog の記事 Firefox Blocking Fraudulent Certificates の抄訳をご覧ください。

問題

Mozilla は、複数の不正な SSL 証明書が公開サイト用に発行されているとの知らせを受けました。それらの証明書の効力は、ユーザを保護すべき発行元によって取り消されました。これは Firefox 固有の問題ではありません。Mozilla では、安全な Web 体験をユーザへ提供する継続的な取り組みの一環として Firefox 4、3.6、3.5 の各バージョンを更新し、それらの証明書を認識して自動的にブロックするよう対応しました。

ユーザへの影響

信用できないネットワーク上にいるユーザが、不正な証明書を使用しているサイトへ誘導され、それが正規のサイトであると誤解する可能性がありました。これによって、ユーザ名、パスワードなどの個人情報がだまし取られるおそれがありました。また、信頼できるサイトから提供されたものと思い込んで、ユーザがマルウェアをインストールさせられる可能性もありました。

状況

Firefox の各最新版はこの攻撃から保護されています。Mozilla では引き続き、この問題に対して今後も対応を行う必要があるかどうか検討を進めています。私たちはすべてのユーザに、定期的にセキュリティアップデートを適用して、インストールされているソフトウェアを最新の状態に保つよう推奨します。

クレジット

この問題は、今回見つかった不正な証明書の発行に責任を負っている認証局の Comodo Group, Inc. から Mozilla へ報告されました。

前後の記事

前の記事: Firefox 4 のリリースによせて
次の記事: Firefox 4 とプラグインの互換性について