現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2016-35

Mozilla Foundation セキュリティアドバイザリ 2016-35

タイトル: NSS における ASN.1 デコード中のバッファオーバーフロー
重要度: 最高
公開日: 2016/03/08
報告者: Francis Gabriel
影響を受ける製品: Firefox、Firefox ESR、Thunderbird、NSS

修正済みのバージョン: Firefox 45
  Firefox ESR 38.7
  Thunderbird 45
  Thunderbird 38.7
  NSS 3.19.2.3
  NSS 3.21.1

概要

Network Security Services (NSS) ライブラリが特定の ASN.1 構造を解析する方法における、ヒープベースのバッファオーバーフローが、Quarkslab のセキュリティ研究者 Francis Gabriel 氏によって報告されました。攻撃者は、特別に作り込まれた証明書を用意し、NSS によって解析された際にクラッシュやユーザの権限での任意のコード実行を引き起こすことが可能でした。

この問題は、影響を受ける Mozilla 製品に同梱されている NSS の各バージョンで解決されました。

NSS 3.21 を使用しているプロジェクトは新バージョン 3.21.1 へ更新してください。

参考資料