現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2016-55

Mozilla Foundation セキュリティアドバイザリ 2016-55

タイトル: Mozilla Windows アップデータを通じたファイル上書きと特権昇格
重要度:
公開日: 2016/06/07
報告者: Frédéric Hoguin
影響を受ける製品: Firefox、Firefox ESR

修正済みのバージョン: Firefox 47
  Firefox ESR 45.2

概要

Mozilla Windows アップデータが任意のファイル上書きに用いることのできる仕組みが、セキュリティ研究者の Frédéric Hoguin 氏によって報告されました。同氏は、アップデータによって MAR アーカイブから展開されるファイルが書き込みロックされておらず、アップデータ実行中に他のプロセスによって上書きできてしまうことを発見しました。悪意を持ったローカルプログラムがアップデータを起動し、展開されたファイルを改変して、任意のファイルで置き換えることが可能でした。この脆弱性は、それらの上書きされたファイルがより高度な特権を持った他の Windows コンポーネントによって後から呼び出された場合、特権昇格に用いられる恐れがありました。

この問題は Windows 以外のシステムには影響しません。

参考資料