Mozillaは4月24日、FirefoxをはじめとするMozilla製品向けの新しい証明書検証ライブラリ「mozilla::pkix」を発表した。Firefox安定版への導入を前に、1万ドルの特別懸賞をかけてmozilla::pkixの脆弱性情報の提供を募っている。
Mozillaによると、mozilla::pkixは従来のライブラリに比べて証明書検証の確実性が高くメンテナンスしやすいのが特徴だという。現在はFirefoxのプレビュー版の「Nightly」版に実装されており、7月にリリースされる安定版の「Firefox 31」に導入を予定している。
多額の賞金を懸けて脆弱性情報を募るのは、OpenSSLに「Heartbleed」と呼ばれる重大な脆弱性が発覚したことが教訓となっている。TLSライブラリのコードの脆弱性はインターネットに致命的な影響を及ぼすとの認識から、mozilla::pkixを安定版に導入する前に、コードの万全さを確実にしておきたい意向だ。
重大なセキュリティ問題の発見については1万ドルの賞金を贈呈する。証明書検証の過程で本来は無効とされるべきはずが有効とされてしまうようなバグや、メモリ破損を引き起こすバグなどを想定している。締め切りは米国時間の6月30日。
特別懸賞の基準には満たなくても、Mozillaの通常の報奨制度に従って一定の基準を満たした情報には3000ドルを贈呈する。
