現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2012-15

Mozilla Foundation セキュリティアドバイザリ 2012-15

タイトル: 複数の Content Security Policy ヘッダを使った XSS
重要度:
公開日: 2012/03/13
報告者: Mike Brooks
影響を受ける製品: Firefox、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 11.0
  Firefox ESR 10.0.3
  Thunderbird 11.0
  Thunderbird ESR 10.0.3
  SeaMonkey 2.8

概要

Web ページ上に複数の Content Security Policy (CSP) ヘッダが存在していると、ページポリシーに付加的な効果をもたらすことが、Sitewatch のセキュリティ研究者 Mike Brooks 氏によって報告されました。復帰改行と改行 (CRLF) を注入し、別のヘッダ注入脆弱性を組み合わせることで、サイト上でクロスサイトスクリプティング (XSS) 攻撃を可能とする新たな CSP ルールを指定することが可能でした。

Firefox 3.6 と Thunderbird 3.1 はこの脆弱性の影響を受けません。

参考資料