現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2013-62

Mozilla Foundation セキュリティアドバイザリ 2013-62

タイトル: アクセス権のないアップデータによるローカル特権昇格
重要度:
公開日: 2013/06/25
報告者: Seb Patane
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 22.0

概要

Windows 上の Mozilla Maintenance Service に関する問題が、セキュリティ研究者の Seb Patane 氏によって報告されました。Mozilla Updater の実行ファイルがアクセス不可能な場合に、Maintenance Service が誤った挙動をして、任意の場所にあるアップデータを使うよう仕向けられてしまうことが分かりました。このアップデータは Maintenance Service によって使用されているシステム特権で実行されるため、ローカル特権昇格につながる恐れがありました。この問題を悪用するにはローカルファイルシステムへのアクセスが必要であり、Web コンテンツを通じて攻撃を行うことはできません。

参考資料