現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2014-71

Mozilla Foundation セキュリティアドバイザリ 2014-71

タイトル: file: プロトコルを通じたプロファイルディレクト内ファイルへのアクセス
重要度:
公開日: 2014/09/02
報告者: Yu Dongsong
影響を受ける製品: Android 版 Firefox

修正済みのバージョン: Firefox 32
  Firefox 31.1
  Seamonkey 2.29

概要

Android 版 Firefox で、file: プロトコルのハイパーリンクがアクセス制限を回避し、Firefox プロファイルディレクト内にあるローカルファイルへリンクできてしまうことが、セキュリティ研究者の Yu Dongsong 氏によって報告されました。これは以前 Mozilla Foundation セキュリティアドバイザリ 2014-33 で解決したはずの問題でしたが、修正が完全ではありませんでした。

この問題によって、Cookie などのプロファイルデータが、使用許可を求められることなく SD カードへコピーされる恐れがありました。この SD カードの場所は誰でも読み取り可能であることから、悪意のあるアプリケーションを通じた Firefox プロファイル内ファイルの情報漏洩へつながる潜在的な恐れがありました。

この問題は Android 版 Firefox のみに影響します。

参考資料