現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2016-76

Mozilla Foundation セキュリティアドバイザリ 2016-76

タイトル: marquee タグ上のスクリプトがサンドボックス化された iframe 上で実行可能となっている
重要度:
公開日: 2016/08/02
報告者: Nikita Arykov
影響を受ける製品: Firefox、Firefox ESR

修正済みのバージョン: Firefox 48
  Firefox ESR 45.3

概要

<marquee> タグ上の JavaScript イベントハンドラ属性が、allow-scripts フラグが設定されていないサンドボックス化された iframe 内でも実行されてしまうことが、セキュリティ研究者の Nikita Arykov 氏によって報告されました。これは、iframe サンドボックスにサニタイズを依存し、他のコンテンツフィルタリングを実装していないサイト上でのクロスサイトスクリプティング (XSS) 脆弱性につながる恐れがありました。

参考資料