現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2015-39

Mozilla Foundation セキュリティアドバイザリ 2015-39

タイトル: 非特権ページへの遷移時にウィンドウが特権付きコンテンツへのアクセスを保持できてしまう
重要度:
公開日: 2015/03/31
報告者: Bobby Holley
影響を受ける製品: Firefox、Firefox OS、SeaMonkey

修正済みのバージョン: Firefox 37
  Firefox OS 2.2
  SeaMonkey 2.35

概要

特権付き UI コンテンツを表示するために生成されたウィンドウが、後で非特権コンテンツへ遷移した場合にも特権付き内部メソッドへのアクセスを保持していることが、Mozilla 開発者の Bobby Holley によって報告されました。Web コンテンツからそれらの特権付きウィンドウへの参照を得られる別の脆弱性が発見された場合、攻撃者はこの参照を用いてそれらを独自のコンテンツへ遷移させることが可能となり、その場合、特権昇格と任意のコード実行を許す恐れがありました。この問題は、それ自体では Web コンテンツによる特権昇格を許すものではありません。

参考資料