現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2010-20

Mozilla Foundation セキュリティアドバイザリ 2010-20

タイトル: URL の強制ドラッグ&ドロップによるクローム特権昇格
重要度: 最高
公開日: 2010/03/30
報告者: Paul Stone
影響を受ける製品: Firefox、SeaMonkey

修正済みのバージョン: Firefox 3.6.2
  Firefox 3.5.9
  Firefox 3.0.19
  SeaMonkey 2.0.4

概要

ブラウザアプレットが、単純なマウスクリックをドラッグ&ドロップ操作へ変換するのに利用され、ブラウザへ意図せぬリソースが読み込まれる潜在的な可能性をもたらすことが、セキュリティ研究者の Paul Stone 氏によって報告されました。この挙動が 2 回連続して行われ、最初に特権付き chrome: URL が被害者のブラウザに読み込まれ、次に悪質な javascript: URL が同じタブに読み込まれると、クローム特権を持った任意のスクリプトが実行されるおそれがありました。

参考資料