現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2010-04

Mozilla Foundation セキュリティアドバイザリ 2010-04

タイトル: window.dialogArguments がクロスドメインで読み取り可能なことによる XSS
重要度:
公開日: 2010/02/17
報告者: Hidetake Jo、TippingPoint ZDI
影響を受ける製品: Firefox、SeaMonkey

修正済みのバージョン: Firefox 3.6
  Firefox 3.5.8
  Firefox 3.0.18
  SeaMonkey 2.0.3

概要

showModalDialog に渡されたオブジェクトに設定されたプロパティが、そのダイアログが含まれるドキュメントから、そのドキュメントが異なるドメインに属する場合でも読み取り可能であることが、Microsoft Vulnerability Research のセキュリティ研究者 Hidetake Jo 氏によって報告されました。これは同一生成元ポリシー違反であり、信頼できない JavaScript を実行している Web サイトが、dialogArguments を仮定していた場合、他のサイトによって初期化されない可能性があります。

この問題は、別の匿名のセキュリティ研究者からも、TippingPoint 社の Zero Day Initiative を通じて別途 Mozilla へ報告されました。

参考資料