現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2012-36

Mozilla Foundation セキュリティアドバイザリ 2012-36

タイトル: インラインスクリプトによる Content Security Policy の回避
重要度:
公開日: 2012/06/05
報告者: Adam Barth
影響を受ける製品: Firefox、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 13.0
  Firefox ESR 10.0.5
  Thunderbird 13.0
  Thunderbird ESR 10.0.5
  SeaMonkey 2.10

概要

onclick などのインラインイベントハンドラが Content Security Policy (CSP) のインラインスクリプト制御機能によってブロックされないことが、セキュリティ研究者の Adam Barth 氏によって発見されました。クロスサイトスクリプティング (XSS) 攻撃を防ぐために CSP のこの機能に依存している Web アプリケーションが完全に保護されていませんでした。

参考資料