現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2016-60

Mozilla Foundation セキュリティアドバイザリ 2016-60

タイトル: Java アプレットによる CSP 保護の回避
重要度:
公開日: 2016/06/07
報告者: Matt Wobensmith
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 47

概要

Content Security Policy (CSP) によるポリシー定義が行われていても、クロスドメイン Java アプレットの読み込みがブロックされないことが、Mozilla のエンジニア Matt Wobensmith によって報告されました。これは、Java アプレットが Java プラグインによって読み込まれ、それが CSP による検証を受けずにすべてのネットワークリクエストを仲介していることが原因でした。これは、悪意を持ったサイトが Java アプレットを通じて CSP 保護を回避しつつコンテンツを改変することを可能にしてしまう問題で、クロスサイトスクリプティング (XSS) 攻撃に悪用される恐れもありました。

参考資料