現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2012-06

Mozilla Foundation セキュリティアドバイザリ 2012-06

タイトル: アイコン画像のエンコード時に追加される未初期化メモリによる情報の誤表示
重要度:
公開日: 2012/01/31
報告者: Tim Abraldes
影響を受ける製品: Firefox、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 10.0
  Thunderbird 10.0
  SeaMonkey 2.7

概要

画像を image/vnd.microsoft.icon としてエンコードする際、生成されたデータが常に一定のサイズとなり、実際の画像サイズを超えて未初期化メモリが付加されることが、Mozilla の開発者 Tim Abraldes によって報告されました。これは、エンコーダ内の mImageBufferSize がソース画像のサイズと異なる値で初期化されていたことが原因でした。ICO 形式の画像を PNG 画像へ変換した際に、未初期化メモリに含まれる機密情報がその画像に追加される恐れがありました。そうして、生成された画像の中にその機密情報が表示される可能性がありました。

Firefox 3.6 と Thunderbird 3.1 はこの問題の影響を受けません。

参考資料