現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2010-31

Mozilla Foundation セキュリティアドバイザリ 2010-31

タイトル: focus() の挙動がキーボード操作の注入もしくは漏えいに使用される
重要度:
公開日: 2010/06/22
報告者: Michal Zalewski
影響を受ける製品: Firefox、SeaMonkey

修正済みのバージョン: Firefox 3.6.4
  Firefox 3.5.10
  SeaMonkey 2.0.5

概要

ユーザが文字を入力している最中に、focus() を使用してカーソルフォーカスを変更でき、潜在的に意図しない場所へユーザのキーボード操作が向けられてしまう可能性のあることが、Google のセキュリティ研究者 Michal Zalewski 氏によって報告されました。この挙動は、あるドメインのコンテンツが iframe を通じて他のドメインへ埋め込まれた場合にも、同一生成元を越えて再現するものでした。悪質な Web ページはこの挙動を悪用して、被害者がパスワードなどの機密情報を入力しているときにキーボード操作を奪うことが可能でした。

参考資料