現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2014-24

Mozilla Foundation セキュリティアドバイザリ 2014-24

タイトル: Android 版クラッシュレポーターが外部から操作可能
重要度:
公開日: 2014/03/18
報告者: Roee Hay
影響を受ける製品: Android 版 Firefox

修正済みのバージョン: Firefox 28

概要

Android 版 Firefox には、クラッシュデータを解析のため Mozilla へ送信するクラッシュレポーターが含まれていますが、第三者の Android アプリケーションが独自の引数でそのクラッシュレポーターを起動できてしまうことが、セキュリティ研究者の Roee Hay 氏によって報告されました。アプリケーションは通常、他のアプリケーションの専用ファイルを読み取ることはできませんが、この脆弱性は、悪意のあるアプリケーションが Firefox プロファイル内のローカルファイルを指定して独自サーバへ送信させることを可能にするもので、情報漏えいにつながる恐れがありました。クラッシュレポーターは Firefox の即時クラッシュを引き起こすことでも起動可能であり、潜在的なサービス妨害 (DOS) 攻撃につながる恐れがありました。

参考資料