現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2013-74

Mozilla Foundation セキュリティアドバイザリ 2013-74

タイトル: Firefox のフルインストーラとスタブインストーラによる DLL ハイジャック
重要度:
公開日: 2013/08/06
報告者: Robert Kugler、Brian Bondy、Robert、Strong
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 23.0

概要

Windows コンピュータ上で特定の名前の DLL ファイルが既定のダウンロードディレクトリに Firefox のインストーラとともに置かれていると、インストーラが起動時にその DLL ファイルを読み込んでしまうことが、セキュリティ研究者の Robert Kugler によって 昨年報告されました。その後の調査で、スタブインストーラが同じ問題を抱え、様々な DLL ファイルに対して脆弱であり、フルインストーラについても他に影響を受ける名前の DLL ファイルがあることが、Mozilla 開発者の Brian BondyRobert Strong によって発見されました。管理者権限アカウントでインストーラが実行された場合、そのダウンロードされた DLL ファイルが管理者権限で実行されることになります。

参考資料