現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2012-53

Mozilla Foundation セキュリティアドバイザリ 2012-53

タイトル: Content Security Policy 1.0 の実装ミスによるデータ漏えい
重要度:
公開日: 2012/07/17
報告者: Karthikeyan Bhargavan
影響を受ける製品: Firefox、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 14
  Firefox ESR 10.0.6
  Thunderbird 14
  Thunderbird ESR 10.0.6
  SeaMonkey 2.11

概要

Content Security Policy (CSP) 1.0 の実装ミスが、INRIA の Prosecco チームに所属するセキュリティ研究者の Karthikeyan Bhargavan 氏によって報告されました。Firefox によって生成され report-uri の場所へ送信される CSP 違反レポートのうち、blocked-uri 引数に機密情報が含まれる可能性がありました。blocked-uri に保護されたリソースとは異なるドメインの URL が渡された場合でも、フラグメントとクエリ文字列がその引数に含まれたままでした。これが悪用された場合、悪質なサイトによって、ユーザの OAuth 2.0 アクセストークンや OpenID 認証情報が取得される恐れがありました。

参考資料