現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2015-95

Mozilla Foundation セキュリティアドバイザリ 2015-95

タイトル: data URL を通じたアドオン通知の回避
重要度:
公開日: 2015/08/27
報告者: Bas Venis
影響を受ける製品: Firefox、Firefox ESR、SeaMonkey

修正済みのバージョン: Firefox 40.0.3
修正済みのバージョン: Firefox ESR 38.0.1
  SeaMonkey 2.35

概要

ユーザが期待したのと異なるサイトからアドオンをインストールできてしまう仕組みが、セキュリティ研究者の Bas Venis 氏によって報告されました。通常、ユーザがアドオンの URL をロケーションバーへ直接入力すると、ユーザ自身による直接的なのアクションの結果であることから警告ダイアログが表示されません。しかしながら、読み込まれたページ上で data: URL を操作することで、このアドオン URL の直接入力を模倣できてしまい、インストール確認ダイアログの回避につながることが同氏によって報告されました。また、その確認ダイアログが表示されない場合、アドオンのインストール呼び出し直後にページ遷移を引き起こすことで、実際のインストール確認ダイアログを他のサイトの URL に表示させられることも報告されました。この問題は、信頼できるサイト (addons.mozilla.org など) がそのインストールを呼び出したかのようにユーザを騙す目的で悪用される恐れがあり、悪質なサイトからのアドオンのインストールにつながる恐れがありました。

参考資料