現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2016-80

Mozilla Foundation セキュリティアドバイザリ 2016-80

タイトル: ローカル HTML ファイルと保存されたショートカットファイルを用いた同一配信元ポリシー違反
重要度:
公開日: 2016/08/02
報告者: Abdulrahman Alqabandi
影響を受ける製品: Firefox、Firefox ESR

修正済みのバージョン: Firefox 48
  Firefox ESR 45.3

概要

ローカル HTML ファイルが悪質なローカルショートカットファイルと同じディレクトリに置かれていた場合、ローカルページがそのショートカットを呼び出して、ローカルファイルやディレクトリの内容を読み取ったり、同一配信元ポリシーに違反して任意のサイトを読み込むことができ、データ搾取も可能になってしまうことが、セキュリティ研究者の Abdulrahman Alqabandi 氏によって報告されました。この脆弱性を引き起こすには、悪質な HTML ファイルとショートカットが同じローカルディレクトリに保存されており、ユーザによってそこから読み込まれることが条件となります。

参考資料