Mozilla Foundation セキュリティアドバイザリ 2005-39
- タイトル
- Firefox のサイドバーパネルを通じて任意のコードが実行される (2)
- 重要度
- 最高
- 報告者
- Kohei Yoshino
- 影響を受ける製品
- Firefox
- 修正済みのバージョン
- Firefox 1.0.3
概要
Web サイトは、「_search」ターゲットを使って、Firefox のサイドバーにリンクを開くことができます。二重のセキュリティチェックが欠けていたために、悪質なスクリプトが特権付きページ (about:config など) を開いた上で、「javascript:」形式の URL を使ってスクリプトを注入することが可能です。これを利用して、ユーザが知らないうちに、悪質なコードをインストールしたり、データを盗み取ることができます。
回避策
- JavaScript を無効にしてください。