Mozilla Foundation セキュリティアドバイザリ 2008-03
- タイトル
- 特権昇格、XSS、リモートコードの実行
- 重要度
- 最高
- 公開日
- 2008/02/07
- 報告者
- moz_bug_r_a4 氏、Boris Zbarsky 氏
- 影響を受ける製品
- Firefox
- Thunderbird
- SeaMonkey
- 修正済みのバージョン
- Firefox 2.0.0.12
- Thunderbird 2.0.0.12
- SeaMonkey 1.1.8
概要
Web ページに含まれるスクリプトが、そのサンドボックス化されたコンテキストを回避したり、クローム特権でコードを実行するのを許してしまう一連の脆弱性が、Mozilla 貢献者の moz_bug_r_a4、Boris Zbarsky 両氏によって報告されました。moz_bug_r_a4 氏によって後から報告された脆弱性では、XMLDocument.load() 関数が、ブラウザの同一生成元ポリシーに反して、別のサイトにスクリプトを注入するのに利用可能であることが実証されました。
回避策
修正版にアップグレードするまで JavaScript を無効にしてください。