Mozilla Foundation セキュリティアドバイザリ 2009-31

タイトル: XUL スクリプトのコンテンツポリシーチェック回避
重要度:
公開日: 2009/06/11
報告者: Wladimir Palant
影響を受ける製品: Firefox, Thunderbird, SeaMonkey

修正済みのバージョン: Firefox 3.0.11

概要

外部スクリプトファイルを XUL ドキュメントに読み込む際、コンテンツ読み込みポリシーがチェックされないことが、Mozilla アドオン開発者でコミュニティメンバーである Wladimir Palant 氏によって報告されました。この問題の重要度は、Thunderbird で受信したメッセージに埋め込まれた「Web バグ」によるプライバシー、AdBlock Plus による広告と広告サーバによるトラッキングの禁止など、コンテンツポリシーチェックの背景にある理由によります。

本アドバイザリの初出時に、NoScript によるスクリプト実行禁止が回避されるという記載がありましたが、実際には NoScript は影響を受けません。

参考資料