デンマークのセキュリティベンダー会社Secuniaは26日（現地時間）、Webブラウザー「Mozilla」と「Firefox」にSSL証明書を偽装できる脆弱性が存在することを公表した。

　脆弱性の具体的内容は、onunload関数を用いて特別に細工を施したWebページを閲覧すると、信頼されている別のWebサイトからSSL証明書を自動でダウンロードできてしまうため、あたかも信頼できるWebサイトにSSL接続しているかのように偽装できるという。

　なお、本脆弱性が確認されたのは「Mozilla」v1.7.1と「Firefox」0.9.2であるが、それ以外のバージョンにおいても影響を受ける可能性があるとしている。また現在、本脆弱性を修正したバージョンの「Mozilla」および「Firefox」は公開されていない。

□Secunia - Advisories - Mozilla / Mozilla Firefox "onunload" SSL Certificate Spoofing
http://secunia.com/advisories/12160/
□mozilla.org - home of mozilla, firefox, thunderbird, and camino
http://www.mozilla.org/
□窓の杜 - Mozilla
http://www.forest.impress.co.jp/lib/inet/browser/webbrowser/mozilla.html
□窓の杜 - Firefox
http://www.forest.impress.co.jp/lib/inet/browser/webbrowser/firefox.html

（中井 浩晶）