現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2015-58

Mozilla Foundation セキュリティアドバイザリ 2015-58

タイトル: Windows 版 Mozilla Updater がアプリケーションディレクトリ外で実行できてしまう
重要度:
公開日: 2015/05/12
報告者: Holger Fuhrmannek
影響を受ける製品: Firefox、SeaMonkey

修正済みのバージョン: Firefox 38
  Thunderbird 38.0.1
  SeaMonkey 2.35

概要

MFSA2015-12 で修正された CVE-2015-0833 は、セキュリティ研究者の Holger Fuhrmannek 氏によって報告された問題でした。その問題は、ローカル作業ディレクトリや Windows 一時ディレクトリからアップデータへ、バイナリ DLL 形式のファイルの読み込みを許してしまうというものでした。CVE-2015-0833 の修正中、同様の問題が発生する可能性を軽減するために、更新の際には必ずアプリケーションディレクトリに置かれた updater.exe が使われるようにする必要性が特定されました。今回のリリースでは、そのための Windows システム向け updater.exe への変更が行われています。

この問題は Windows に限定され、Linux や OS X システムは影響を受けません。

参考資料