現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2013-71

Mozilla Foundation セキュリティアドバイザリ 2013-71

タイトル: Mozilla Updater を通じたさらなる特権昇格
重要度:
公開日: 2013/08/06
報告者: Ash
影響を受ける製品: Firefox、Thunderbird

修正済みのバージョン: Firefox 23.0
  Firefox ESR 17.0.8
  Thunderbird 17.0.8
  Thunderbird ESR 17.0.8

概要

Windows 7 以降のバージョンの Windows における Mozilla Updater の問題が、セキュリティ研究者の Ash 氏によって報告されました。脆弱なプラットフォーム上で、特定の悪質な DLL ファイルをローカルシステムから Mozilla Updater に読み込ませることが可能でした。この DLL ファイルは Mozilla Maintenance Service の特権を通じて昇格したコンテキストで実行され、ローカル特権昇格を許す恐れがありました。また、この DLL ファイルは、Mozilla Updater がそのファイルと同じディレクト内でユーザにより直接実行される場合は、非特権コンテキストでも実行可能でした。この問題を悪用するにはローカルファイルシステムへのアクセスが必要となります。/p>

参考資料