現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2016-13

Mozilla Foundation セキュリティアドバイザリ 2016-13

タイトル: サービスワーカーとプラグインの併用による同一配信元違反
重要度: 最高
公開日: 2016/02/11
報告者: Jason Pang
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 44.0.2

概要

プラグインからブラウザを通じて行われたネットワークリクエストへの応答がサービスワーカーによって傍受されていることが、OneSignal の Jason Pang 氏によって報告されました。サービスワーカーによってネットワークリクエストへの応答が偽装された場合、それらのリクエストの内容に基づきプラグインによって下されるセキュリティ判断が損なわれる可能性がありました。例えば、偽装された crossdomain.xml により、悪意のあるサイトが Flash プラグインを用いて同一配信元ポリシーを破ることも可能でした。

参考資料