現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2012-56

Mozilla Foundation セキュリティアドバイザリ 2012-56

タイトル: javascript URL を通じたコードの実行
重要度: 最高
公開日: 2012/07/17
報告者: moz_bug_r_a4
影響を受ける製品: Firefox、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 14
  Firefox ESR 10.0.6
  Thunderbird 14
  Thunderbird ESR 10.0.6
  SeaMonkey 2.11

概要

javascript: URL を使って任意のコードを実行できる攻撃が、Mozilla のセキュリティ研究者 moz_bug_r_a4 によって報告されました。Gecko エンジンは、ブラウザやアドオンが Web ページのコンテキスト内で安全にスクリプトを実行できるようにする JavaScript サンドボックスユーティリティを実装しています。特定の場合において、javascript: URL がサンドボックス内でコンテキストが不十分な状態で実行され、そうしたスクリプトがサンドボックスを回避し、より高い特権で実行される恐れがありました。これは任意のコード実行につながる可能性がありました。

参考資料