現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2014-86

Mozilla Foundation セキュリティアドバイザリ 2014-86

タイトル: CSP 違反報告を通じたリダイレクトデータの漏えい
重要度:
公開日: 2014/12/02
報告者: Muneaki Nishimura
影響を受ける製品: Firefox、Firefox OS

修正済みのバージョン: Firefox 34
  Seamonkey 2.31
  Firefox OS 2.2

概要

リダイレクトによって引き起こされた Content Security Policy (CSP) 違反報告が CSP 仕様によって要求された通りにパス情報を除去していないことが、セキュリティ研究者の Muneaki Nishimura 氏によって発見されました。これは潜在的に、元のサイトにしか知り得ないそのリダイレクトに関する情報を露呈してしまう可能性がありました。これは悪質なサイトによって、対象となる URL にエンコードされて含まれているユーザ名やシングルサインオントークンといった機密情報を取得するのに利用される恐れがありました。

この問題は Firefox 33 未満のバージョンには影響しません。

参考資料