現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2010-71

Mozilla Foundation セキュリティアドバイザリ 2010-71

タイトル: 安全でないライブラリの読み込みに関する問題
重要度: 最高
公開日: 2010/10/19
報告者: Ehsan Akhgari, Dmitri Gribenko
影響を受ける製品: Firefox、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 3.6.11
  Firefox 3.5.14
  Thunderbird 3.1.5
  Thunderbird 3.0.9
  SeaMonkey 2.0.9

概要

Windows プラットフォームにおいて外部ライブラリの読み込みに使用されている関数が、DLL 読み込みアプリケーションに対する相対パスを用いているため、攻撃者が現在のワーキングディレクトリもしくは Windows が実行ファイルを検索するその他の場所に同名の実行ファイルを置くことができた場合、そうした「バイナリ植え付け」に対して脆弱であることが、Mozilla の開発者 Ehsan Akhgari によって報告されました。

また、Linux で Mozilla アプリケーションの起動に使用されているスクリプトが、LD_LIBRARY_PATH 環境変数に現在のワーキングディレクトリを実質的に含めていることが、Dmitri Gribenko 氏によって報告されました。攻撃者が現在のワーキングディレクトリに起動スクリプトが依存しているライブラリと同名の悪質な共有ライブラリを置くことができた場合、攻撃者が正規のライブラリの代わりに悪質なライブラリを読み込ませることが可能でした。

参考資料