現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2016-69

Mozilla Foundation セキュリティアドバイザリ 2016-69

タイトル: Mozilla アップデータとコールバックアプリケーションパス引数を通じたローカルユーザによる任意のファイル改変
重要度:
公開日: 2016/08/02
報告者: Holger Fuhrmannek
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 48

概要

アップデータがコールバックアプリケーションパス引数を用いて直接開かれた場合、ユーザが指定したファイルのコピーがコールバックファイルとして作成されることが、セキュリティ研究者の Holger Fuhrmannek 氏によって報告されました。このファイルのターゲットがロックされたハードリンクであった場合、ターゲットファイルに対する書き込み権限がなくても、システム上で任意のローカルファイルを置き換えることが可能でした。このターゲットファイルが特権を持った他のプロセスによって実行されると、ローカルシステムアクセスを持った悪意あるユーザによる任意のコード実行を許す恐れがありました。Web コンテンツがこの問題を悪用することはできません。

この問題は Windows 限定であり、Linux や OS X システムには影響しません。

参考資料