Mozilla Foundation セキュリティアドバイザリ 2006-76
- タイトル
- outer window の Function オブジェクトを利用したクロスサイトスクリプティング
- 重要度
- 高
- 公開日
- 2006/12/19
- 報告者
- moz_bug_r_a4
- 影響を受ける製品
- Firefox 2.0
- 修正済みのバージョン
- Firefox 2.0.0.1
概要
Bug 355161 で報告された Function prototype のリグレッションを利用して、クロスサイトスクリプティング (XSS) 攻撃からの保護を回避できることが、moz_bug_r_a4 氏によって実証されました。これは、任意のサイトから証明書や機密情報を盗み出したり、ログイン済みのユーザに代わって破壊行為を実行するといったことに利用される可能性があります。
この脆弱性は Firefox 2.0 で混入したリグレッションで、Firefox 1.5 には影響しません。
回避策
修正版に更新するまで JavaScript を無効にしてください。
参考資料
https://bugzilla.mozilla.org/show_bug.cgi?id=355161
https://bugzilla.mozilla.org/show_bug.cgi?id=359137
CVE-2006-6507