現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2015-91

Mozilla Foundation セキュリティアドバイザリ 2015-91

タイトル: Mozilla の Content Security Policy 実装が仕様に反してアスタリスクワイルドカードを許容している
重要度:
公開日: 2015/08/11
報告者: Christoph Kerschbaumer
影響を受ける製品: Firefox、SeaMonkey

修正済みのバージョン: Firefox 40
  SeaMonkey 2.38

概要

Mozilla の Content Security Policy と CSP 仕様 の矛盾点が、Mozilla のセキュリティエンジニア Christoph Kerschbaumer によって報告されました。仕様には、ソース表現一致の際、blob:data:filesystem: URL はワイルドカードの場合から除外されるべきであると書かれていますが、Mozilla の実装ではアスタリスクワイルドカードの場合にこれらも許容されていました。これは、より Web 開発者によって期待されるものより寛容な CSP の使用を可能にしてしまう問題で、おそらくクロスサイトスクリプティング (XSS) 攻撃に悪用される恐れがありました。

参考資料