Mozilla Foundation セキュリティアドバイザリ 2007-16
- タイトル
- addEventListener を利用したクロスサイトスクリプティング
- 重要度
- 高
- 公開日
- 2007/05/30
- 報告者
- moz_bug_r_a4 氏
- 影響を受ける製品
- Firefox
- SeaMonkey
- 修正済みのバージョン
- Firefox 2.0.0.4
- Firefox 1.5.0.12
- SeaMonkey 1.0.9
- SeaMonkey 1.1.2
概要
addEventListener メソッドを利用して、ブラウザの同一生成元ポリシーに反して別のサイトにスクリプトを注入できることが、Mozilla 貢献者の moz_bug_r_a4 氏によって実証されました。これは、その別のサイトにある個人情報や機密情報にアクセスしたり改変を加えるのに悪用される可能性があります。
回避策
修正版に更新するまで JavaScript を無効にしてください。
参考資料
https://bugzilla.mozilla.org/show_bug.cgi?id=376987
https://bugzilla.mozilla.org/show_bug.cgi?id=377356
CVE-2007-2870