現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2010-13

Mozilla Foundation セキュリティアドバイザリ 2010-13

タイトル: 画像の先読みによるコンテンツポリシーの回避
重要度:
公開日: 2010/03/23
報告者: Josh Soref (Nokia)
影響を受ける製品: Firefox 3.6

修正済みのバージョン: Firefox 3.6.2

概要

ドキュメントが画像を先読みしようとする際、特定のセキュリティチェックの呼び出しに失敗することが、Nokia の Mozilla 開発者 Josh Soref 氏によって報告されました。そうした画像コンテンツをページ内で使用することはできませんが、file: など、通常 Web ページ内では許可されていないプロトコルを指定することが可能でした。これには、特権を持ったアクションを実行する可能性のあるアドオンによって実装されている内部スキーマが含まれていたため、アドオンに対するクロスサイトリクエストフォージェリ (CSRF) 攻撃などにつながるおそれがありました。潜在的な重要度は、ユーザがどのようなアドオンをインストールしているかによって変わります。

参考資料