現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2016-46

Mozilla Foundation セキュリティアドバイザリ 2016-46

タイトル: WebExtensions における chrome.tabs.update API を通じた特権昇格
重要度:
公開日: 2016/04/26
報告者: Muneaki Nishimura
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 46

概要

WebExtensions の chrome.tabs.update API を用いて、追加の許可設定なしに javascript: URL へ遷移できてしまう問題が、株式会社リクルートテクノロジーズのセキュリティ研究者 Muneaki Nishimura (nishimunea) 氏によって報告されました。これは、悪意のある拡張機能によってユニバーサルクロスサイトスクリプティング (XSS) 攻撃のための特権昇格に悪用される恐れがありました。また、他の拡張機能がブラウザのタブにコンテンツを読み込んでいた場合、それに対してコンテンツを注入するためにも悪用される恐れがありました。

参考資料