現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2014-33

Mozilla Foundation セキュリティアドバイザリ 2014-33

タイトル: file: プロトコルのリンクが初期設定で SD カードへダウンロードされる
重要度:
公開日: 2014/03/25
報告者: Roee Hay
影響を受ける製品: Android 版 Firefox

修正済みのバージョン: Firefox 28.0.1

概要

Android 版 Firefox で、file: プロトコルを使ったハイパーリンクが Firefox プロファイルディレクトリ内のローカルファイルにリンクできてしまうことが、セキュリティ研究者の Roee Hay 氏によって報告されました。ユーザが端末上でこのリンクを選択すると、リンクされたファイルが確認なしに SD カードへコピーされてしまいます。この SD カードの場所は所有者に関わらず読み取り可能となっていることから、悪質なアプリケーションを通じた Firefox プロファイル内ファイルの潜在的な情報漏えいにつながる恐れがありました。

参考資料