現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2015-100

Mozilla Foundation セキュリティアドバイザリ 2015-100

タイトル: Mozilla アップデータを通じたローカルユーザによる任意のファイル改ざん
重要度:
公開日: 2015/09/22
報告者: Holger Fuhrmannek
影響を受ける製品: Firefox、Firefox ESR、Thunderbird

修正済みのバージョン: Firefox 41
  Firefox ESR 38.3
  Thunderbird 38.3

概要

Mozilla アップデータの実行中に、接点と合わせてユーザの管理下にある作業ディレクトリから更新されたファイルを読み込むようにアップデータを改ざんできてしまうことが、セキュリティ研究者の Holger Fuhrmannek 氏によって報告されました。Windows 上で Mozilla Maintenance Service により更新が実行されている場合、そうした悪質なファイルがより高度な特権で実行され、システム上の任意のファイルを置き換えるのに使用される恐れがありました。これは、ローカルシステムアクセスを持った悪質なユーザによる任意のコード実行を許す恐れのある問題でしたが、Web コンテンツによる悪用は不可能でした。

この問題は Windows 限定であり、Linux や OS X システムは影響を受けません。

参考資料