現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2015-12

Mozilla Foundation セキュリティアドバイザリ 2015-12

タイトル: Mozilla アップデータの起動によってローカル DLL ファイルが読み込まれる
重要度:
公開日: 2015/02/24
報告者: Holger Fuhrmannek
影響を受ける製品: Firefox、Firefox ESR、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 36
  Firefox ESR 31.5
  Thunderbird 31.5
  Seamonkey 2.33

概要

Mozilla アップデータが直接実行された場合に、アップデータによってローカル作業ディレクトリもしくは Windows 一時ディレクトリからバイナリ DLL 形式のファイルが読み込まれてしまうことが、セキュリティ研究者の Holger Fuhrmannek 氏によって報告されました。こうした状況は Windows システム上で Mozilla Maintenance Service なしにアップデータを実行した場合に発生します。これにより、表示された Windows のユーザアカウント制御 (UAC) 確認ダイアログにユーザが同意した場合、悪質な DLL ファイルがより高度な特権で実行される恐れがありました。

これは Windows 固有の問題で、Linux や OS X システムには影響しません。

参考資料