現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2012-59

Mozilla Foundation セキュリティアドバイザリ 2012-59

タイトル: Object.defineProperty を使った location オブジェクトのシャドーイング
重要度:
公開日: 2012/08/28
報告者: Mariusz Mlynski
影響を受ける製品: Firefox、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 15
  Firefox ESR 10.0.7
  Thunderbird 15
  Thunderbird ESR 10.0.7
  SeaMonkey 2.12

概要

Object.defineProperty を使って location オブジェクトをシャドーイングできてしまうことが、セキュリティ研究者の Mariusz Mlynski 氏によって報告されました。これは現在の場所がどこかをプラグインに誤解させ、クロスサイトスクリプティング (XSS) 攻撃を許しかねない問題でした。

2012/10/09 更新: このアドバイザリを更新し、Bug 756719 が ESR 10.0.8 でも修正された事実を反映しました。

参考資料