MDC 日本語版

Mozilla Foundation セキュリティアドバイザリ 2007-19

タイトル: addEventListener および setTimeout を利用したクロスサイトスクリプティング
重要度: 高
公開日: 2007/07/17
報告者: moz_bug_r_a4
影響を受ける製品: Firefox
修正済みのバージョン: Firefox 2.0.0.5; SeaMonkey 1.1.3

概要

addEventLstener と setTimeout メソッドを利用することで、ブラウザの同一生成元ポリシーに反して他のサイトにスクリプトを挿入できることが、moz_bug_r_a4 氏によって実証されました。これはその他のサイトから個人情報など重要な情報を読み取ったり改変するのに利用される可能性があります。

参考資料

https://bugzilla.mozilla.org/show_bug.cgi?id=380474
https://bugzilla.mozilla.org/show_bug.cgi?id=380476
CVE-2007-3736

© 2004-2008 Mozilla Japan, Mozilla Foundation and Mozilla Corporation
Mozilla Japan は Mozilla Foundation と Mozilla Corporation の公式アフィリエイトです。

英語版 2007/08/03 - 和訳版 2008/01/31 - 英語版更新履歴

この文書は翻訳で、原文は mozilla.org において英語で管理・公開されています。
この翻訳文書は、利用者の利便のために Mozilla Japan 翻訳部門により提供されています。
翻訳文書についてのコメントは mozilla.org 日本語版についてまでお寄せください。