現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2014-25

Mozilla Foundation セキュリティアドバイザリ 2014-25

タイトル: Firefox OS の DeviceStorageFile オブジェクトが相対パスエスケープに対して脆弱
重要度:
公開日: 2014/03/18
報告者: Ben Turner
影響を受ける製品: Firefox OS

修正済みのバージョン: Firefox OS 1.2.2
  Firefox OS 1.3

概要

DeviceStorage API を通じたディレクトリトラバーサル防止機能が Firefox OS の間違ったプロセスに実装されていたことが、Mozlla 開発者の Ben Turner によって発見されました。何らかの device-storage 許可設定を持った Firefox OS アプリケーションがセキュリティ侵害を受けた場合、攻撃者がメディアサンドボックスを回避し、アプリケーションの許可設定レベルによっては、端末上のあらゆるファイルの読み書きが潜在的に可能でした。

参考資料