現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2012-18

Mozilla Foundation セキュリティアドバイザリ 2012-18

タイトル: window.fullScreen が信頼できないコンテンツから書き込み可能となっている問題
重要度:
公開日: 2012/03/13
報告者: Matt Brubeck
影響を受ける製品: Firefox、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 11.0
  Firefox ESR 10.0.3
  Thunderbird 11.0
  Thunderbird ESR 10.0.3
  SeaMonkey 2.8

概要

DOM フルスクリーン API が有効になっている環境で、window.fullScreen が信頼できないコンテンツによって書き込み可能であることが、Mozilla の開発者 Matt Brubeck によって報告されました。window.fullScreenmozRequestFullscreen のセキュリティ保護を受けていないため、これは UI の偽装に利用される可能性がありました。信頼できないコンテンツからは window.fullScreen を読み取り専用とするようコードの変更を行うとともに、通常の window.fullScreen にも DOM フルスクリーン API の使用を強制するようにしました。

Firefox 3.6 と Thunderbird 3.1 はこの脆弱性の影響を受けません。

参考資料