Mozilla Foundation セキュリティアドバイザリ 2008-69

タイトル: セッション復元機能における XSS 脆弱性
重要度: 最高
公開日: 2008/12/16
報告者: moz_bug_r_a4
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 3.0.5
  Firefox 2.0.0.19

概要

コンテンツが他のドメインの記憶領域など誤ったドキュメント記憶領域に注入されるという、セッション復元機能における脆弱性が、Mozilla セキュリティ研究者の moz_bug_r_a4 氏によって報告されました。攻撃者はこの問題を利用して、ブラウザの同一生成元ポリシーに反し、セッション復元データが復元される際に XSS 攻撃を実行することが可能でした。

また、その脆弱性の応用例のひとつが、攻撃者によってクローム特権で任意の JavaScript を実行するのに利用される可能性のあることが、同氏によって報告されました。

回避策

修正版にアップグレードするまで JavaScript もしくはセッション復元機能を無効にしてください。

参考資料