現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2016-54

Mozilla Foundation セキュリティアドバイザリ 2016-54

タイトル: data URI を通じた location.host 設定による不完全な同一配信元ポリシー適用
重要度:
公開日: 2016/06/07
報告者: Armin Razmdjou
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 47

概要

不正な data: URI の作成後に、location.host プロパティに任意の文字列を設定できてしまうことが、セキュリティ研究者の Armin Razmdjou 氏によって報告されました。この問題は、一部の同一配信元ポリシー制限を回避するために用いられる恐れがありました。ただし、使用中の data: URI によって緩和され、http:https: 向けの同一配信元検証はすべて適切に行われます。結果的に、Cookie の読み取りやその他一般的な同一配信元回避攻撃は不可能でした。

参考資料