ITmedia エンタープライズ『脆弱性が最多のブラウザはFirefox――Cenzic報告書』に注目が集まっているようだが、脆弱性の数だけを問題にする風潮には違和感を覚えるので、基本的な点をおさらいしておこう。まず、Webブラウザの脆弱性は、公開されてはじめてカ…

Mozilla Security Blogの『milw0rm 9158 “stack overflow” crash not exploitable (CVE-2009-2479)』で、MozillaがFirefoxの新たな脆弱性（CVE-2009-2479）に関して反論している。その骨子は、当該脆弱性を突いてFirefoxをクラッシュさせることはできるが、…

Mozillaのセキュリティチームに所属するJohnathan Nightingale氏いわく、セキュリティ問題を測るうえで欠かせない3つの要素があるという（『Measure What Matters - The SEC Essentials』）。Severity（深刻さ）、Exposure Window（露出期間）そしてComplete…

フィッシング詐欺対策とマルウェア対策 Firefoxは、Googleが提供するSafe Browsing APIを利用して、ユーザーがフィッシング詐欺にあったり、マルウェア(悪意のあるソフトウェア) に汚染されたりすることを防いでいる。Firefox 3の時点でこのメカニズムは確立…

『EV SSL証明書の普及が偽証明書を防ぐ』では、MD5アルゴリズムに脆弱性が発見され、これで署名されたSSL証明書に偽造の危険があると述べた。では、実際のところ、MD5署名のSSL証明書はどの程度の割合で存在しているのだろうか。Firefoxのセキュリティ責任者…

提供者であるGoogleがサービスを終了するため、米国時間の1月20日をもってFirefox 2.0.0.xのフィッシング対策機能はデータの更新が行われなくなる。以後は十分な保護を受けられなくなるため、Firefox 3にアップデートしたほうが安全だ。ちなみに、Firefox 3…

FirefoxがWebサイトと暗号通信を行う場合、相手方サイトが保有するSSL証明書（電子的な証明書の一種）は、第三者機関が認証した署名によるものでなければならない。そのサイト独自の署名がつけられているにすぎないとき、Firefoxは警告を発して通信をストッ…

10日以上前のことになるが、Mozillaがセキュリティに関する警告を出した。MD5ハッシュアルゴリズムに脆弱性が見つかり、一部のSSL証明書が偽造される危険があるというのだ。MD5は、電子署名に用いられる技術で、たとえばSSL証明書などのデータについて、これ…