現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2011-40

Mozilla Foundation セキュリティアドバイザリ 2011-40

タイトル: Enter キーの押下継続によるコードのインストール
重要度: 最高
公開日: 2011/09/27
報告者: Mariusz Mlynski
影響を受ける製品: Firefox、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 7.0
  Firefox 3.6.23
  Thunderbird 7.0
  Thunderbird 3.1.15
  SeaMonkey 2.4

概要

悪質なページが、ゲームやテストの一環などと称してユーザを騙し、Enter キーを押しっぱなしにさせることができた場合、ダウンロードダイアログを表示させて、押されたキーによって既定の「開く」アクションを実行させることが可能であることが、Mariusz Mlynski 氏によって報告されました。一部のファイル形式では、これは単に (ポップアップウィンドウと同じぐらい) 迷惑なだけですが、中には強力なスクリプト機能を持っているファイル形式もあります。またこれは、潜在的に悪意を持ったインターネットコンテンツに通常触れることのないアプリケーションの脆弱性を悪用する手段を攻撃者に与えることになります。

さらに、pluginspage 属性を用いたプラグインの手動インストールにおいても同様の問題が見られることが同氏によって報告されました。確認ダイアログを差し止める内部エラーを生成し、Enter キーを押し続けることで任意のアドオンのインストールを強制させることも可能でした。(この応用例は Firefox 3.6 では効きません)

参考資料