Mozilla Foundation セキュリティアドバイザリ 2009-02

タイトル: クローム XBL メソッドと window.eval を用いた XSS
重要度:
公開日: 2009/02/03
報告者: moz_bug_r_a4
影響を受ける製品: Firefox 3

修正済みのバージョン: Firefox 3.0.6

概要

クローム XBL メソッドを window.eval と組み合わせることで、同一生成元ポリシーに反して、他の Web サイトのコンテキストで任意の JavaScript を実行できてしまうことが、Mozilla セキュリティ研究者の moz_bug_r_a4 氏によって報告されました。

Firefox 2 はこの問題の影響を受けません。

回避策

修正版にアップグレードするまで JavaScript を無効にしてください。

参考資料