現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2012-98

Mozilla Foundation セキュリティアドバイザリ 2012-98

タイトル: Firefox インストーラの DLL ハイジャック
重要度:
公開日: 2012/11/20
報告者: Robert Kugler
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 17.0
  Firefox ESR 10.0.11
  Firefox 18.0
  Firefox ESR 17.0.1
  Firefox ESR 10.0.12

概要

Windows コンピュータ上で、Firefox のインストーラが保存される既定のダウンロードディレクトリに特定の名前の DLL ファイルが置かれていた場合、Firefox のインストーラが起動時にその DLL を読み込んでしまうことが、セキュリティ研究者の Robert Kugler 氏によって報告されました。インストーラが管理者権限のアカウントで実行された場合、ダウンロードされたその DLL ファイルが管理者権限で実行されることになります。これは特権付きアカウントによる任意のコード実行につながる恐れがありました。

別の脆弱な DLL ファイル名が Firefox 18.0、Firefox ESR 17.0.1、Firefox ESR 10.0.12 に見つかり修正されました。

参考資料