現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2010-21

Mozilla Foundation セキュリティアドバイザリ 2010-21

タイトル: Firebug XMLHttpRequestSpy による任意のコード実行
重要度:
公開日: 2010/03/30
報告者: moz_bug_r_a4
影響を受ける製品: Firefox、SeaMonkey

修正済みのバージョン: Firefox 3.5.8
  Firefox 3.0.19
  SeaMonkey 2.0.3

概要

Firebug アドオンの XMLHttpRequestSpy モジュールによって、内在するクローム特権昇格の脆弱性が露呈することが、Mozilla セキュリティ研究者の moz_bug_r_a4 氏によって報告されました。XMLHttpRequestSpy オブジェクトが作成されると、クローム特権オブジェクトへの露呈を防ぐための保護が適切に行われていない、それ自身の様々なプロパティが、Web コンテンツによって定義されているオブジェクトに付随するようになっていました。その結果、攻撃者が任意の JavaScript コードを被害者のコンピュータ上で実行することが可能でした。被害者が Firebug をインストールしていることが条件となるため、この問題の総合的な重要度は「高」と判断されました。

この脆弱性は Firefox 3.6 には影響しません。

参考資料