現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2012-05

Mozilla Foundation セキュリティアドバイザリ 2012-05

タイトル: 信頼できないオブジェクトを呼び出したフレームスクリプトがセキュリティチェックを迂回する
重要度: 最高
公開日: 2012/01/31
報告者: moz_bug_r_a4
影響を受ける製品: Firefox、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 10.0
  Thunderbird 10.0
  SeaMonkey 2.7

概要

フレームスクリプトが信頼できないオブジェクトを呼び出したときに XPConnect のセキュリティチェックを迂回してしまうことが、Mozilla のセキュリティ研究者 moz_bug_r_a4 によって報告されました。この問題は、Web ページや Firefox の拡張機能を通じたクロスサイトスクリプティング (XSS) 攻撃に悪用される可能性がありました。Script Security Manager (SSM) がすべてのフレームスクリプトに対し必ずセキュリティチェックを行うよう修正が行われました。

Firefox 3.6 と Thunderbird 3.1 はこの問題の影響を受けません。

参考資料