現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2015-27

Mozilla Foundation セキュリティアドバイザリ 2015-27

タイトル: Caja Compiler による JavaScript サンドボックスの回避
重要度:
公開日: 2015/02/24
報告者: Jan de Mooij
影響を受ける製品: Firefox、SeaMonkey

修正済みのバージョン: Firefox 36
  Seamonkey 2.33

概要

コンテンツ保護のために Caja Compiler を導入していたり、その他の似たようなサンドボックスライブラリを使用したりしている Web ページに影響する問題が、Mozilla 開発者の Jan de Mooij によって報告されました。JavaScript コードの実行が許可されていない場合に、Caja や Secure EcmaScript 内部で拡張不能として設定されている一部の JavaScript オブジェクトが再び拡張可能となり、Caja のサンドボックスセキュリティ制限が回避されてしまうことが確認されました。

Firefox ユーザはこの問題による直接の影響を受けません。この問題は、制限付きで実行されるべき Web コンテンツを内部で読み込んでいる Caja 内で実行中のコードに影響します。

参考資料