Firefoxに深刻な脆弱性、Mozillaが更新を呼びかける

Firefoxでユーザーに知られずにローカルファイルをアップロード可能な脆弱性が発見され、Mozillaが更新を呼びかけている(Mozilla Foundation Security Advisory 2015-78、Mozilla Security Blogの記事、Neowinの記事)。

この脆弱性はsame-originポリシーに違反してビルトインのPDFビューアーの非特権部分にスクリプトをインジェクトできるというもの。悪用することでローカルファイルの読み取りや、アップロードが可能であり、すでにエクスプロイトの存在も確認されている。PDFビューアーを搭載しないAndroid版Firefoxは影響を受けない。

エクスプロイトが発見されたのはロシアのニュースサイトで表示される広告で、特定のローカルファイルを検索してウクライナにあるとみられるサーバーにアップロードするという。このエクスプロイトがターゲットにしているのはWindowsおよびLinuxだが、Mac OSをターゲットにするものが今後出現する可能性もある。

脆弱性はFirefox 39.0.3およびFirefox ESR 38.1.1、Firefox OS 2.2で修正されている。　スラドのコメントを読む | セキュリティセクション | セキュリティ | Firefox | Mozilla | IT

　関連ストーリー：
米Yahoo!、サイバー攻撃を受けてマルウェア入り広告を配布していた 2015年08月07日
Androidデバイスが操作不能になる脆弱性、半数以上の端末に影響 2015年08月01日
Androidでビデオメッセージを受信するだけでデバイスが乗っ取られる脆弱性が確認される 2015年07月28日
Mozilla、Firefoxで音声再生中のタブにインジケーターを表示する機能を開発中 2015年07月28日
RC4暗号の脆弱性を使ったセッションハイジャック手法が発表される 2015年07月23日
Firefoxで一時的にFlash Playerプラグインの全バージョンが無効になる 2015年07月16日
Pwn2Own 2015終了、主要ウェブブラウザやプラグインが突破される 2015年03月24日
Pwn2Own 2014で攻略された回数が最も多かったWebブラウザーはFirefox 2014年03月23日
Firefox 16.0に脆弱性が発見され公開中止に 2012年10月11日