現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2016-82

Mozilla Foundation セキュリティアドバイザリ 2016-82

タイトル: Android 版 Firefox 上での RTL 文字によるロケーションバー偽装
重要度:
公開日: 2016/08/02
報告者: Rafay Baloch
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 48

概要

RTL (右から左に書く) 文字セットを LTR (左から右に書く) 文字と組み合わせて用いることで Android 版 Firefox のロケーションバーを偽装できる仕組みが、セキュリティ研究者の Rafay Baloch 氏によって報告されました。これを悪用することで、URL 内の読み込まれた LTR 文字部分の一部だけを表示させることが可能となり、読み込まれたサイトをユーザに誤解させ、おそらくフィッシング詐欺にもつながる恐れがありました。

この脆弱性はデスクトップ版 Firefox には影響しません。

参考資料