現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2011-17

Mozilla Foundation セキュリティアドバイザリ 2011-17

タイトル: WebGLES ライブラリの脆弱性
重要度: 最高
公開日: 2011/04/28
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 4.0.1

概要

悪質なコードの実行に悪用される潜在的なおそれのある 2 件のクラッシュが WebGL 機能に発見され、Firefox 4.0.1 で修正されました。また、WebGLES ライブラリが、最近のバージョンの Windows に実装されているセキュリティ機能を回避するのに利用される潜在的なおそれがありました。WebGL 機能は Firefox 4 で導入されたもので、旧バージョンはこれらの問題の影響を受けません。

Windows 版 Firefox に含まれている WebGLES ライブラリが、ASLR 保護なしでコンパイルされていることが、Nils 氏によって報告されました。悪用可能なメモリ破壊脆弱性を発見した開発者は、これらのライブラリを利用して Windows Vista と Windows 7 上で ASLR を回避し、Windows XP やその他のプラットフォームと同様に、その脆弱性を悪用可能なものにしてしまうことが可能でした。

クレジット

WebGLES ライブラリにおける潜在的に悪用可能なバッファオーバーフローが、Mozilla 研究者の Christoph Diehl 氏によって報告されました。

WebGLES ライブラリにおける潜在的に悪用可能な上書きが、Yuri Ko 氏によって Chrome セキュリティチームへ報告されました。この修正に関して Mozilla と連携してくれた同チームに感謝します。