Mozilla Foundation セキュリティアドバイザリ 2009-61

タイトル: document.getSelection() を通じたクロスドメインのデータ漏えい
重要度:
公開日: 2009/10/27
報告者: Gregory Fleischer
影響を受ける製品: Firefox 3

修正済みのバージョン: Firefox 3.5.4
  Firefox 3.0.15

この脆弱性は、Thunderbird 2 や SeaMonkey 1.1 など、Gecko 1.8 ブラウザエンジンを搭載した製品には影響しません。

概要

document.getSelection 関数を使用することで、Web ページ上の選択範囲内の文字列を、異なるドメインにある JavaScript から同一生成元ポリシーに反して読み取り可能であることが、セキュリティ研究者の Gregory Fleischer 氏によって報告されました。この脆弱性を悪用するにはユーザの操作が必要になることから、重要度は「中」と判断されました。

参考資料