現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2016-28

Mozilla Foundation セキュリティアドバイザリ 2016-28

タイトル: 履歴遷移と Location プロトコルプロパティを通じたロケーションバー偽装
重要度:
公開日: 2016/03/08
報告者: Tsubasa Iinuma
影響を受ける製品: Firefox、Firefox ESR

修正済みのバージョン: Firefox 45
  Firefox ESR 38.7

概要

ロケーションバーでユーザに表示されているアドレスを偽装する方法が、セキュリティ研究者の Tsubasa Iinuma 氏によって報告されました。この問題は、履歴遷移と Location プロトコルプロパティを組み合わせて用いることで引き起こすことが可能でした。悪意のあるページから足のページヘ遷移した後で、ユーザが元のページへ戻った場合、表示された URL がその再読み込みされたページを反映していませんでした。この問題は、ユーザをだまして、そのページを別の信頼されたサイトに見せかけるために悪用される恐れがありました。

参考資料