現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2016-91

Mozilla Foundation セキュリティアドバイザリ 2016-91

タイトル: Firefox 50.0.1 で修正されたセキュリティ脆弱性
重要度: 最高
公開日: 2016/11/28
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 50.0.1

#CVE-2016-9078: data: URL が HTTP リダイレクト後に誤ったオリジンを継承する可能性

報告者
Alexander Inführ
重要度
最高
概要

HTTP 接続から data: URL へリダイレクトが行われた際、特定の状況で参照元サイトのオリジンがその data: URL へ割り当てられてしまうことがありました。これは、悪意のあるサイトからリソースが読み込まれた場合、ドメインに対する同一オリジンポリシー違反につながる可能性がありました。Cookie のクロスオリジン設定が、読み取りはできないものの実証されています。
注: この問題は Firefox 49 および 50 のみに影響します。

参考資料