現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2012-13

Mozilla Foundation セキュリティアドバイザリ 2012-13

タイトル: ドラッグ&ドロップと JavaScript URL による XSS
重要度:
公開日: 2012/03/13
報告者: Soroush Dalili
影響を受ける製品: Firefox、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 11.0
  Firefox ESR 10.0.3
  Firefox 3.6.28
  Thunderbird 11.0
  Thunderbird ESR 10.0.3
  Thunderbird 3.1.20
  SeaMonkey 2.8

概要

Firefox は、悪質なサイトがユーザを騙してクロスサイトスクリプティング (XSS) 攻撃を実行するのを防ぐため、フレーム上への javascript: リンクのドロップを禁止しています。この保護機構を回避する方法が、セキュリティ研究者の Soroush Dalili 氏によって報告されました。

参考資料