現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2013-32

Mozilla Foundation セキュリティアドバイザリ 2013-32

タイトル: Mozilla Maintenance Service を通じた特権昇格
重要度:
公開日: 2013/04/02
報告者: Frédéric Hoguin
影響を受ける製品: Firefox、Thunderbird

修正済みのバージョン: Firefox 20.0
  Firefox ESR 17.0.5
  Thunderbird 17.0.5
  Thunderbird ESR 17.0.5

概要

Windows 版の Mozilla Maintenance Service がバッファオーバーフローに対して脆弱であることが、セキュリティ研究者の Frédéric Hoguin 氏によって発見されました。このシステムはユーザーアカウント制御 (UAC) ダイアログを表示することなくソフトウェアを更新するために使用されています。Mozilla Maintenance Service は非特権ユーザが任意の引数で実行できるように設定されています。これらの引数で渡されるデータを操作することで、攻撃者がそのサービスによって使用されるシステム特権で任意のコードを実行することが可能でした。この問題を悪用するには、ローカルファイルシステムへのアクセスが必要です。

参考資料