現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2012-49

Mozilla Foundation セキュリティアドバイザリ 2012-49

タイトル: 同一コンパートメントのセキュリティラッパーが回避される
重要度: 最高
公開日: 2012/07/17
報告者: Bobby Holley
影響を受ける製品: Firefox、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 14
  Firefox ESR 10.0.6
  Thunderbird 14
  Thunderbird ESR 10.0.6
  SeaMonkey 2.11

概要

同一コンパートメントのセキュリティラッパー (SCSW) を他のコンパートメントに渡すことで、その制限が回避される可能性が、Mozilla の開発者 Bobby Holley によって発見されました。クロスコンパートメントのラッパーは SCSW を経由しない場合もありますが、フィルタリングポリシーが内蔵されています。オブジェクトがクロスコンパートメントとしてラップされると SCSW が取り除かれ、オブジェクトが再度読み取られたときに SCSW で保護されていたことが分からず、結果として SCSW が回避されてしまいます。これにより、信頼できないコンテンツが、ブラウザ機能を実装している XBL へのアクセス権を得る可能性がありました。

参考資料