Mozilla Foundation セキュリティアドバイザリ 2005-32
- タイトル
- ドラッグ&ドロップによって特権付き XUL ファイルが読み込まれる
- 重要度
- 低
- 危険度
- 中
- 報告者
- Michael Krax
- 影響を受ける製品
- Firefox
- Mozilla Suite
- 修正済みのバージョン
- Firefox 1.0.1
- Mozilla Suite 1.7.6
概要
悪質なページが、ユーザに対して何か (偽のスクロールバーなど) をドラッグするよう仕向けた場合、特権付き XUL ファイルを開く際の制限が回避されてしまいます。その XUL ファイルに含まれる起動スクリプトは高度な特権付きで実行されますが、攻撃が成功しても、たいていの問題ない XUL ファイルを開くにとどまります。今のところ攻撃者が任意のコードを実行する方法は見つかっていませんが、将来的な攻撃への踏み台になりかねない問題でした。
回避策
- JavaScript を無効化してください。
- 修正済みのバージョンにアップグレードしてください。