現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2012-47

Mozilla Foundation セキュリティアドバイザリ 2012-47

タイトル: HTML フィードビューにおける JavaScript のフィルタリング漏れ
重要度:
公開日: 2012/07/17
報告者: Mario Heiderich
影響を受ける製品: Firefox、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 14
  Firefox ESR 10.0.6
  Thunderbird 14
  Thunderbird ESR 10.0.6
  SeaMonkey 2.11

概要

RSS の description 内に embed 要素を含めることで、HTML フィードビュー内で JavaScript が実行される可能性が、セキュリティ研究者の Mario Heiderich 氏によって報告されました。この問題は、構文解析時に embed 要素が取り除かれていなかったことが原因で、潜在的なクロスサイトスクリプティング (XSS) 攻撃につながる恐れがありました。構文解析ユーティリティクラスに問題があったため、信頼できない入力のサニタイズをこのクラスに任せているブラウザの他の機能やアドオンにも影響する可能性があります。

参考資料