Mozilla Foundation セキュリティアドバイザリ 2009-20

タイトル: 悪質な検索プラグインによって任意のサイトにコードが注入される
重要度:
公開日: 2009/04/21
報告者: Prateek Saxena
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 3.0.9

概要

SearchForm の値に javascript: URI を用いた悪質な MozSearch プラグインを作成できることが、セキュリティ研究者の Prateek Saxena 氏によって報告されました。この URI は、検索文字列が空白だった場合に、既定のランディングページとして使用されます。攻撃者がユーザにこうした悪質なプラグインをインストールさせて空白の検索を実行させることができた場合、現在開かれているサイトのコンテキストで SearchForm の javascript: URI が実行されます。

参考資料