現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2015-133

Mozilla Foundation セキュリティアドバイザリ 2015-133

タイトル: NSS と NSPR のメモリ破壊問題
重要度: 最高
公開日: 2015/11/03
報告者: Tyson Smith、David Keeler、Ryan Sleevi
影響を受ける製品: Firefox、Firefox ESR、Thunderbird

修正済みのバージョン: Firefox 42
  Firefox ESR 38.4
  Thunderbird 38.4

概要

Network Security Services (NSS) の ASN.1 デコーダにおける汚染後使用とバッファオーバーフローが、Mozilla エンジニアの Tyson SmithDavid Keeler によって報告されました。これらの問題はオクテット文字解析にあり、ファジングとコード監査を通じて発見されました。これらの問題が引き起こされた場合、潜在的に悪用可能なクラッシュにつながる可能性がありました。これらの問題は、Firefox と Firefox ESR にそれぞれ搭載されている NSS のバージョン 3.19.2.1 と 3.19.4、および NSS 3.20.1 で修正されました。

メモリ割り当て時のチェック不足に起因する Netscape Portable Runtime (NSPR) における整数オーバーフローが、Google セキュリティ研究者の Ryan Sleevi 氏によって報告されました。これは潜在的に悪用可能なクラッシュにつながる問題でした。この問題は NSPR 4.10.10 で修正されました。NSPR ライブラリは NSS の必須コンポーネントです。

参考資料