現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2012-89

Mozilla Foundation セキュリティアドバイザリ 2012-89

タイトル: defaultValue のセキュリティチェックが適用されていない問題
重要度: 最高
公開日: 2012/10/11
報告者: moz_bug_r_a4
影響を受ける製品: Firefox、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 16.0.1
  Firefox ESR 10.0.9
  Thunderbird 16.0.1
  Thunderbird ESR 10.0.9
  SeaMonkey 2.13.1

概要

セキュリティラッパーが defaultValue() 内でセキュリティチェックを受けることなく解かれてしまうリグレッションが、Mozilla セキュリティ研究者の moz_bug_r_a4 によって報告されました。これは location オブジェクトへの不適切なアクセスを可能にしてしまう問題でした。影響を受ける製品のバージョン 15 およびそれ以前でも、任意のコード実行を許してしまう可能性がありました。

セキュリティ研究者の Gareth Heyes 氏も、更新版で修正された Firefox 16 のみの症状について ブログ に投稿していました。

参考資料