Mozilla Foundation セキュリティアドバイザリ 2006-62
- タイトル
- ポップアップブロック機能を通じたクロスサイトスクリプティング (XSS)
- 重要度
- 中
- 公開日
- 2006/09/14
- 報告者
- shutdown
- 影響を受ける製品
- Firefox
- 修正済みのバージョン
- Firefox 1.5.0.7
概要
ステータスバー上の「ブロックされたポップアップ」アイコンから開かれたポップアップウィンドウが、他のサイトから読み込まれた子フレームにより開かれたものであった場合も、ロケーションバーに表示されているサイトのコンテキストで開かれてしまうことが、shutdown 氏によって実証されました。これは、ポップアップによる、フレームで構成されるそのサイトに対するクロスサイトスクリプティング攻撃の実行に利用される可能性があります。
これは現実的な脅威とは考えられません。悪質なページは、対象ページのフレームに含まれていることが前提で、ポップアップを開くよう設定し、その上でユーザに対し、そのポップアップのコンテンツがとても重要あるいは興味深いことを示して、手作業で開くように仕向けなければなりません。(MFSA 2006-61 が修正される前は、最初の手順はより簡単でした。フレームを使っている対象サイトを探して、それをポップアップで開くことで、ブロックされるようにすることが可能でした)
回避策
ステータスバー上の「ブロックされたポップアップ」アイコンからポップアップウィンドウを開かないようにしてください。ポップアップを表示したい場合は、そのサイトをポップアップロック機能の例外リストに追加し、正しいコンテキストで開かれるよう、ページを再読み込みしてください。
参考資料
https://bugzilla.mozilla.org/show_bug.cgi?id=343175
CVE-2006-4569