現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2010-42

Mozilla Foundation セキュリティアドバイザリ 2010-42

タイトル: Web ワーカーの importScripts を通じたクロスサイトデータ漏えい
重要度:
公開日: 2010/07/20
報告者: Yosuke Hasegawa
影響を受ける製品: Firefox、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 3.6.7
  Firefox 3.5.11
  Thunderbird 3.1.1
  Thunderbird 3.0.6
  SeaMonkey 2.0.6

概要

Web ワーカーの importScripts メソッドを使って、コンテンツが正規の JavaScript でなくても、他のドメインからリソースを読み取ってパースできてしまうことが、セキュリティ研究者の Yosuke Hasegawa 氏によって報告されました。これは同一生成元ポリシー違反であり、攻撃者が他のサイトから情報を盗み出すのに悪用されるおそれがありました。

参考資料