現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2013-107

Mozilla Foundation セキュリティアドバイザリ 2013-107

タイトル: サンドボックス制限が入れ子になったオブジェクト要素に適用されない
重要度:
公開日: 2013/12/10
報告者: Daniel Veditz
影響を受ける製品: Firefox、SeaMonkey

修正済みのバージョン: Firefox 26
  SeaMonkey 2.23

概要

<iframe sandbox> の制限が、そのサンドボックス化されたインラインフレーム内の <object> 要素に適用されていないことが、Mozilla セキュリティ開発者の Daniel Veditz によって発見されました。この問題を悪用すると、そのサンドボックス化されたインラインフレーム内でホストされているコンテンツが <object> 要素を用いて、本来適用されるべきサンドボックス制限を回避することが可能でした。

参考資料