現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2015-124

Mozilla Foundation セキュリティアドバイザリ 2015-124

タイトル: Android インテントを使って Android 版 Firefox で機密ファイルを開けてしまう
重要度:
公開日: 2015/11/03
報告者: Muneaki Nishimura
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 42

概要

Android 版 Firefox で、検索エンジンが登録され、Android インテント を通じて Firefox を起動するために使用される可能性が、セキュリティ研究者の Muneaki Nishimura 氏によって報告されました。Android 版 Firefox が起動されると、クラッシュレポーターが使われた場合、Firefox のシステム特権で URL が実行される可能性があります。これは Firefox 内でのローカルログファイルの読み取りにつながり、潜在的な個人情報漏えいや、file: URI を通じたローカル HTML ファイルの読み取りにつながる恐れがありました。

この問題は Android 4.4 あるいはそれ以前のバージョンで動作する Android 版 Firefox のみに影響します。悪用不可能なクラッシュの発生を除けば、より新しい Android のバージョンは影響を受けません。他の OS 向けの Firefox は影響を受けません。

参考資料