現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2012-39

Mozilla Foundation セキュリティアドバイザリ 2012-39

タイトル: NSS のゼロ長アイテムパースエラー
重要度:
公開日: 2012/06/05
報告者: Kaspar Brand
影響を受ける製品: Firefox、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 13.0
  Firefox ESR 10.0.5
  Thunderbird 13.0
  Thunderbird ESR 10.0.5
  SeaMonkey 2.10

概要

Network Security Services (NSS) の ASN.1 デコーダにおけるゼロ長アイテムの処理方法に関する問題が、セキュリティ研究者の Kaspar Brand 氏によって発見されました。この問題の影響はそのフィールドに依存します。既知の症状のひとつとして、OCSP レスポンスを処理する際の悪用不可能なクラッシュが確認されています。NSS は、ゼロ長の基本制約も誤って処理しており、一部の型について不正な値として拒否されるべき既定値を仮定していました。これらの問題は NSS 3.13.4 で解決され、Mozilla の各製品にも反映されました。

参考資料