現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2010-38

Mozilla Foundation セキュリティアドバイザリ 2010-38

タイトル: SJOW と高速なネイティブ関数を使用した任意のコード実行
重要度: 最高
公開日: 2010/07/20
報告者: moz_bug_r_a4
影響を受ける製品: Firefox、Thunderbird

修正済みのバージョン: Firefox 3.6.7
  Thunderbird 3.1.1

概要

クロームのコンテキストで実行されているコンテンツスクリプトが SJOW を通じてコンテンツオブジェクトにアクセスすると、コンテンツコードがクロームのスコープにあるオブジェクトへのアクセス権を得て、そのオブジェクトを使用して任意の JavaScript をクローム特権で実行できてしまうことが、Mozilla セキュリティ研究者の moz_bug_r_a4 氏によって報告されました。

Gecko 1.9.1 を基盤とした Firefox 3.5 およびその他の Mozilla 製品は、この問題の影響を受けません。

参考資料