現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2012-14

Mozilla Foundation セキュリティアドバイザリ 2012-14

タイトル: Address Sanitizer によって発見された SVG の問題
重要度: 最高
公開日: 2012/03/13
報告者: Atte Kettunen
影響を受ける製品: Firefox、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 11.0
  Firefox ESR 10.0.3
  Firefox 3.6.28
  Thunderbird 11.0
  Thunderbird ESR 10.0.3
  Thunderbird 3.1.20
  SeaMonkey 2.8

概要

Firefox の SVG 処理に 2 つの問題があることが、OUSPG のセキュリティ研究者 Atte Kettunen 氏による Address Sanitizer ツールを使った調査で発見されました。重要度「最高」と評価された最初の問題は、SVG アニメーションにおける解放後使用で、任意のコード実行につながる潜在的な可能性がありました。重要度「中」と評価された 2 つ目の問題は、SVG フィルタの境界外読み取りでした。これはユーザのメモリから読み取ったデータをページ上で参照可能にすることが潜在的に可能な問題でした。

参考資料