現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2014-90

Mozilla Foundation セキュリティアドバイザリ 2014-90

タイトル: OS X 10.10 上の Apple CoreGraphics フレームワークによって入力データが /tmp ディレクトリへ記録される
重要度:
公開日: 2014/12/02
報告者: Kent Howard
影響を受ける製品: Firefox、Firefox ESR、Thunderbird

修正済みのバージョン: Firefox 34
  Firefox ESR 31.3
  Thunderbird 31.3

概要

OS X の CoreGraphics フレームワークによって /tmp ローカルディレクトリにログファイルが作成されるという、OS X 10.10 (Yosemite) に存在する Apple の問題が、セキュリティ研究者の Kent Howard 氏によって報告されました。これらのログファイルには、Mozilla 製プログラムの実行中に入力された記録がすべて含まれていました。バージョン 10.6 から 10.9 までの OS X でも、CoreGraphics はこのログ機能を備えていましたが、初期設定では無効となっていました。OS X 10.10 では、フレームワークの初期化バグにより、jemalloc など独自のメモリアロケータを使用している一部のアプリケーションについて、このログ機能が初期設定で有効となっていました。この問題は、Mozilla 製品でフレームワークの入力イベントログを明示的に無効化することで解決されました。脆弱なシステムでは、この問題によって、ユーザ名、パスワード、その他の入力データなどの個人情報がローカルシステム上のログファイルへ保存される恐れがありました。

この問題は 10.10 未満の OS X ユーザには影響しません。OS X 10.10 のユーザは、/tmp フォルダを開いて、CGLog_firefox など CGLog_ で始まり Mozilla 製品名が後に続くファイル名を持つすべてのログファイルを削除してください。

参考資料