現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2012-97

Mozilla Foundation セキュリティアドバイザリ 2012-97

タイトル: XMLHttpRequest がサンドボックス内で誤ったプリンシパルを継承する
重要度:
公開日: 2012/11/20
報告者: Gabor Krizsanits
影響を受ける製品: Firefox、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 17.0
  Thunderbird 17.0
  SeaMonkey 2.14

概要

サンドボックス内で作成された XMLHttpRequest オブジェクトが、そのサンドボックスのプリンシパルではなくシステムのプリンシパルを持っていることが、Mozilla の開発者 Gabor Krizsanits によって発見されました。これは、サンドボックス内で信頼できないコードを実行しているアドオンを通じたクロスサイトリクエストフォージェリ (CSRF) や情報漏えいにつながる恐れがありました。

参考資料