現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2016-18

Mozilla Foundation セキュリティアドバイザリ 2016-18

タイトル: CSP レポートが埋め込み iframe ページの URL 情報を除去できていない
重要度:
公開日: 2016/03/08
報告者: Muneaki Nishimura
影響を受ける製品: Firefox、Thunderbird

修正済みのバージョン: Firefox 45
  Thunderbird 45

概要

Content Security Policy (CSP) 違反レポートに、CSP 仕様に反し、クロスオリジン iframe ナビゲーションのフルパス情報が含まれていることが、株式会社リクルートテクノロジーズのセキュリティ研究者 Muneaki Nishimura (nishimunea) 氏によって報告されました。この問題は情報漏えいにつながる恐れがありました。

Thunderbird では JavaScript が初期設定で無効になっているため、一般的にメールを通じたこれらの脆弱性の悪用は不可能です。ただし、ブラウザもしくはブラウザに類似した機能を利用した場合、潜在的なリスクが生じます。

参考資料