現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2014-84

Mozilla Foundation セキュリティアドバイザリ 2014-84

タイトル: 不正な CSS 宣言を通じた XBL バインディングへのアクセス
重要度:
公開日: 2014/12/02
報告者: Cody Crews
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 34
  Seamonkey 2.31

概要

Web コンテンツを通じてクロームレベルの XML Binding Language (XBL) バインディングを引き起こす方法が、セキュリティ研究者の Cody Crews 氏によって報告されました。これは、クロームアクセスが可能な一部の CSS スタイルシートが、それらの主要名前空間を不適切に宣言していたために可能となっていました。この問題が発生すると、それらのスタイルシートを使用して XBL バインディングを操作することが可能となり、Web コンテンツによるセキュリティ制限を許してしまうことになりました。この問題は特定のスタイルシートのみに限られます。

参考資料