現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2014-23

Mozilla Foundation セキュリティアドバイザリ 2014-23

タイトル: data: 文書の Content Security Policy がセッション復元機能によって保存されない
重要度:
公開日: 2014/03/18
報告者: Nicolas Golubovic
影響を受ける製品: Firefox、SeaMonkey

修正済みのバージョン: Firefox 28
  SeaMonkey 2.25

概要

data: 文書の Content Security Policy (CSP) がセッション復元の一環として保存されないことが、セキュリティ研究者の Nicolas Golubovic 氏によって報告されました。攻撃者が被害者をだまし、ページ上に注入された data: URL の文書を開かせることができた場合、これはクロスサイトスクリプティング (XSS) 攻撃につながる恐れがありました。攻撃対象とされるページは、こうした XSS 攻撃を防ぐために厳格な CSP を適用している可能性もありますが、攻撃者が他のバグでブラウザのクラッシュを誘発した場合、セッション復元中にそのサイトの CSP を回避して XSS 攻撃を実行することが可能でした。

参考資料