現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2016-74

Mozilla Foundation セキュリティアドバイザリ 2016-74

タイトル: フォーム input type を password から text へ変更することで、セッション復元ファイルに平文パスワードが保存されてしまう
重要度:
公開日: 2016/08/02
報告者: Mike Kaply
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 48

概要

ページ上のパスワード入力欄の種類がセッション中に「password」から「text」へ変更された場合、Firefox のセッション復元データにそのパスワードが平文で含まれてしまうことが、Mozilla の社員 Mike Kaply によって報告されました。この状態は、入力されたパスワードをユーザに見せるスクリプトがパスワード入力欄に設定されている場合に発生する可能性があります。この種類が変更されると、パスワードデータはそのページの保存されたフォームデータ内に平文で保持されます。この問題は、攻撃者がセッション復元ファイルを読み取る方法を見つけられた場合、このような仕組みでパスワードを表示しているサイト上のパスワード漏洩につながる恐れがありました。

参考資料