現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2016-14

Mozilla Foundation セキュリティアドバイザリ 2016-14

タイトル: Graphite 2 における脆弱性
重要度: 最高
公開日: 2016/02/11
報告者: Holger Fuhrmannek
影響を受ける製品: Firefox ESR、Thunderbird

修正済みのバージョン: Firefox ESR 38.6.1
  Thunderbird 38.6

概要

悪質な Graphite 「スマートフォント」が、特別な CNTXT_ITEM 命令を用いることで、Graphite 2 ライブラリ内の内部命令パラメータの検証を回避できてしまうことが、セキュリティ研究者の Holger Fuhrmannek 氏によって報告されました。これは任意のコード実行につながる恐れがありました。

この問題は Firefox ESR で使われていた Graphite 2 のバージョン 1.2.4 に影響します。この問題に加えて、Cisco Talos チームによって最近発見された当該バージョンのライブラリに影響するその他のセキュリティ脆弱性を修正するため、Firefox ESR で使用されているライブラリが、Firefox 44 と同じバージョン 1.3.5 へ更新されました。

Thunderbird では、一般的にメールを通じたこの脆弱性の悪用は不可能です。ただし、ブラウザもしくはブラウザに類似した機能を利用した場合、潜在的なリスクが生じます。

参考資料