Mozilla Foundation セキュリティアドバイザリ 2005-55
- タイトル
- XHTML ノードの偽装
- 重要度
- 高
- 報告者
- moz_bug_r_a4
- 影響を受ける製品
- Firefox
- Mozilla Suite
- 修正済みのバージョン
- Firefox 1.0.5
- Mozilla Suite 1.7.10
概要
ブラウザ UI の一部が、名前空間が異なるのを考慮したり、そのノードが本当に予期されたタイプのものであるかどうかを確認することなく、DOM ノード名を過度に信頼していました。XHTML ドキュメントが使われて、コンテンツ定義プロパティを持った、例えば偽の <img> 要素が生成されると、ブラウザがそれに対して、予期された HTML 要素の信頼された組み込みプロパティであるかのようにアクセスしてしまいます。
この脆弱性の重要度は、攻撃者が被害者をどのように仕向けるかによりますが、ユーザによるスクリプトがより高度な「クローム」特権で実行される可能性があります。これは、被害者のコンピュータに悪質なソフトウェアをインストールするのに利用される可能性があります。