現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2013-06

Mozilla Foundation セキュリティアドバイザリ 2013-06

タイトル: タッチイベントがインラインフレーム間で共有される
重要度:
公開日: 2013/01/08
報告者: Wesley Johnston
影響を受ける製品: Firefox、SeaMonkey

修正済みのバージョン: Firefox 18.0
  SeaMonkey 2.15

概要

2 つ以上のインラインフレーム (iframe) が同じ HTML ページ上に存在した場合、ひとつの iframe が、そのページ上の他の ifame 内で生じたタッチイベントやそのターゲットを参照できてしまうことが、Mozilla 開発者の Wesley Johnston によって報告されました。それらの iframe が同一の生成元から配信されたものであった場合、他の iframe のターゲットのプロパティやメソッドにアクセスできてしまいますが、ドメインを越えたアクセスは同一生成元ポリシー (SOP) によって制限されます。SOP の制限を回避する他の脆弱性が利用された場合、これは情報漏えいや潜在的なクロスサイトスクリプティング (XSS) 攻撃につながる恐れがありました。

タッチイベントは現在のところ Android 版 Firefox でのみ使用されており、他の製品はこの脆弱性の影響を受けません。

参考資料