Mozilla Foundation セキュリティアドバイザリ 2009-12

タイトル: XSL トランスフォーメーションの脆弱性
重要度: 最高
公開日: 2009/03/27
報告者: Guido Landi、Andre、Michael Rooney、Martin の各氏
影響を受ける製品: Firefox、SeaMonkey

修正済みのバージョン: Firefox 3.0.8
  SeaMonkey 1.1.16

概要

XSL スタイルシートを利用して XSL トランスフォーメーションの実行時にブラウザをクラッシュさせられることが、セキュリティ研究者の Guido Landi 氏によって発見されました。攻撃者がこのクラッシュを利用して、被害者のコンピュータ上で任意のコードを実行することが潜在的に可能な状態でした。

この脆弱性は以前にも Ubuntu コミュニティメンバーの Andre 氏によって安定性の問題として報告されていました。Andre 氏の発見は Ubuntu コミュニティメンバーの Michael Rooney 氏によって Mozilla へ報告されました。Mozilla コミュニティメンバーの Martin 氏が、Andre 氏による当初のテストケースを最小限に絞り込む作業へ協力するとともに、脆弱性を修正するパッチを提供してくださいました。

参考資料