Mozilla Foundation セキュリティアドバイザリ 2009-63
タイトル: メディアライブラリの更新によるメモリ安全性問題の修正
重要度: 最高
公開日: 2009/10/27
報告者: Mozilla コミュニティ、Mozilla 開発者
影響を受ける製品: Firefox
修正済みのバージョン: Firefox 3.5.4
概要
Mozilla は、メディアのレンダリング (描画) に使用されているいくつかのサードパーティ製ライブラリを更新し、Mozilla コミュニティのメンバーによって特定されたメモリ安全性と安定性に関する複数のバグを解決しました。発見されたバグの一部は、攻撃者が被害者のブラウザをクラッシュさせ、それらのコンピュータ上で任意のコードを実行するのに悪用される、潜在的な危険性をはらむものでした。liboggz、libvorbis、liboggplay が、これらの問題を解決するため、すべて更新されました。
音声・動画のネイティブ対応は Firefox 3.5 で導入されたため、それ以前のバージョンの Firefox には影響しません。
参考資料
liboggz のクラッシュが、Georgi Guninski 氏によって報告されました。
libvorbis のクラッシュが、Lucas Adamski、Matthew Gregan、David Keeler、Dan Kaminsky の各氏によって報告されました。
liboggplay のクラッシュが、Juan Becerra 氏によって報告されました。
本アドバイザリの初出時に、CVE-2009-3370 の一部として Bug 500254 が誤って含まれていました。このバグは実際には CVE-2009-2663 として Firefox 3.5.2 で修正されています。