Mozilla Foundation セキュリティアドバイザリ 2009-67

タイトル: libtheora 動画ライブラリにおける整数オーバーフローとクラッシュ
重要度: 最高
公開日: 2009/12/15
報告者: Dan Kaminsky、David Keeler
影響を受ける製品: Firefox 3.5, SeaMonkey 2.0, Thunderbird 3.0

修正済みのバージョン: Firefox 3.5.6
  SeaMonkey 2.0.1
  Thunderbird 3.0.1

概要

Theora 動画ライブラリにおける整数オーバーフローが、セキュリティ研究者の Dan Kaminsky 氏によって報告されました。動画の幅と高さが共に拡大され、特定のメモリ割り当てに利用されていました。動画のサイズが極端に大きいと、その乗算結果が 32 ビット整数をオーバーフローし、結果として動画に割り当てられるメモリバッファが少ない状態になってしまいます。攻撃者が、特別に作り込んだ動画を利用してこのバッファの限界を超えるデータを書き込み、それによってブラウザをクラッシュさせ、被害者のコンピュータ上で任意のコードを実行することが潜在的に可能な状態でした。

また、この問題と、サービス妨害 (DoS) 攻撃に悪用可能と判断された別のクラッシュが、Mozilla のインターンである David Keeler によって別途報告されました。

音声・動画のネイティブ対応は、Firefox 3.5 および SeaMonkey 2.0、Thunderbird 3.0 のブラウザエンジンに導入されたため、それ以前のバージョンの製品には影響しません。

これらのバグは、アップストリームでは Theora のバージョン 1.1 ("Thusnelda") で修正されていますが、Firefox 3.5 で利用されている古いバージョンもこのパッチが必要でした。

参考資料