Mozilla Foundation セキュリティアドバイザリ 2009-53

タイトル: ダウンロード済みローカルファイルの改ざん
重要度:
公開日: 2009/10/27
報告者: Jeremy Brown
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 3.5.4
  Firefox 3.0.15

概要

ダウンロード用フォルダにある既存のファイルを再度ダウンロードする際に用いられるファイル命名規則が予測可能であることが、セキュリティ研究者の Jeremy Brown 氏によって報告されました。攻撃者が被害者のコンピュータへのローカルアクセス権を持っており、なおかつその被害者が「ダウンロードマネージャ」から開こうとするファイルの名前が分かっている場合、攻撃者はこの脆弱性を悪用して、ダウンロード済み一時ファイルの保存に使用される誰でも書き込み可能なディレクトリに悪質なファイルを設置し、ブラウザがそれを開く際に誤ったファイルを選択させることが可能でした。この攻撃は被害者のマシンへのローカルアクセス権を必要とすることから、この脆弱性の重要度は「低」と判断されました。

参考資料