現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2012-35

Mozilla Foundation セキュリティアドバイザリ 2012-35

タイトル: Windows 版の Mozilla Updater と Mozilla Maintenance Service を通じた特権昇格
重要度: 最高
公開日: 2012/06/05
報告者: James Forshaw
影響を受ける製品: Firefox、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 13.0
  Thunderbird 13.0
  SeaMonkey 2.10

概要

Windows 版 Firefox 12 で導入された Mozilla Updater と Mozilla Maintenance Service に関する 2 つの問題が、Context Information Security のセキュリティ研究者 James Forshaw 氏によって発見されました。最初の問題は、Mozilla Updater がローカル DLL ファイルを特権付きコンテキストで読み込むことを可能にするものでした。Mozilla Updater は、Mozilla Maintenance Service だけでなく、システム上でそのサービスを使用していないプログラムからも独自に呼び出すことが可能でした。2 つ目の問題は、Mozilla Maintenance Service が任意のローカル DLL ファイルの読み込みを許すもので、そのサービスによって使用されているのと同じシステム特権で読み込んだファイルを実行させることが可能でした。これらの問題はいずれも、悪用するにはローカルファイルシステムへのアクセスが必要となります。

参考資料