現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2015-28

Mozilla Foundation セキュリティアドバイザリ 2015-28

タイトル: SVG ナビゲーションを通じた特権昇格
重要度: 最高
公開日: 2015/03/20
報告者: Mariusz Mlynski
影響を受ける製品: Firefox、Firefox ESR、SeaMonkey

修正済みのバージョン: Firefox 36.0.4
  Firefox ESR 31.5.3
  Seamonkey 2.33.1

概要

特権コンテキストで任意のスクリプトを実行する方法が、セキュリティ研究者の Mariusz Mlynski 氏により HP Zero Day Initiative の Pwn2Own コンテストを通じて報告されました。これは、SVG 形式のコンテンツナビゲーション処理に含まれていた欠陥を用いて同一オリジンポリシー制限を回避するものでした。

この修正は元々 Firefox 36.0.3 と Firefox ESR 31.5.2 に含まれていましたが、不完全であったため再度修正されました。

参考資料