2011/10/18 更新: 今日、Oracle 社からこの脆弱性を解決する Java SE のパッチ が公開されました。Java プラグインをお使いの皆さんには、安全性を保つため、最新版へ更新するよう推奨します。Windows ユーザで自動更新を有効にしている場合は、早ければ今週中に更新が行われます。また java.com から手動でダウンロードすることもできます。Mac OS X 向けには Apple 社が直接 Java の更新を提供しています。Mozilla では今のところ Java の脆弱なバージョンを ブロックする 予定はありませんが、この問題が実際に悪用される事例が発生しないか、引き続き監視を行っていきます。
問題
最近、TLS で保護された通信に対する情報解読攻撃について詳述した論文が、Juliano Rizzo、Thai Duong の両氏によって公開されました。この攻撃は Firefox 固有のものではなく、Firefox は初期設定では影響ありませんが、一部のプラグインは攻撃を受ける可能性があります。
ユーザへの影響
この中間者攻撃の応用に成功した場合、攻撃者は暗号化通信から情報を盗み出すことが可能となります。これには、攻撃者が被害者になりすませる Cookie のデータも含まれるおそれがあります。
状況
Firefox 自体はこの攻撃を受けません。Firefox は確かに TLS 1.0 (この脆弱性を含んだ TLS のバージョン) を使用してはいますが、攻撃の技術的な詳細 (英語) によれば、ブラウザに由来する通信の内容を完全に制御する方法が必要であり、Firefox はこれを許可していません。
しかしながら、この攻撃を実現する Java プラグインの脆弱性が攻撃者によって発見されています。Mozilla では、念のためアドオンマネージャで Java プラグインを無効化することをユーザの皆さんに推奨します。
- [ツール] メニューもしくは [Firefox] ボタンから [アドオン] を選択します。
- 新しいタブで開いたアドオンマネージャの中にある [プラグイン] パネルを選択します。
- Java プラグインを選択して [無効化] ボタンをクリックします。
Mozilla では現在、すべての Firefox ユーザの Java プラグインを強制的に無効化できないか検討しており、対応を行うことが決まったときはこの記事に追記します。
クレジット
この問題は、Juliano Rizzo、Thai Duong の両氏によって報告されました。
[これは米国 Mozilla のブログ記事 Attack against TLS-protected communications の抄訳です]