現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2015-60

Mozilla Foundation セキュリティアドバイザリ 2015-60

タイトル: ページ内のローカルファイルリンクや特権付き URL を新しいタブに開けてしまう
重要度:
公開日: 2015/07/02
報告者: Jann Horn
影響を受ける製品: Firefox、Firefox ESR、SeaMonkey

修正済みのバージョン: Firefox 39
  Firefox ESR 38.1
  SeaMonkey 2.35

概要

Mozilla Foundation セキュリティアドバイザリ 2015-25 が Firefox 37 で修正された際、その修正が Firefox 38 に適用されない手違いがあり、Firefox 38 (および Firefox ESR 38) のリリース時にバグが事実上未修正の状態に戻ってしまったことが、セキュリティ研究者の Jann Horn 氏によって報告されました。Armin Razmdjou 氏がバグで報告している通り、ページ上のハイパーリンクをマウスと特定のキーボードキーの組み合わせによって開くことで、コンテキストの制限が保たれないままクローム特権付き URL を開けてしまうことが問題となっていました。同様に、既知の場所にあるローカルファイルやリソースを、セキュリティ制限を回避しローカル特権で開くことも可能でした。

参考資料