現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2010-46

Mozilla Foundation セキュリティアドバイザリ 2010-46

タイトル: CSS を利用したクロスサイトデータ漏えい
重要度:
公開日: 2010/07/20
報告者: Chris Evans
影響を受ける製品: Firefox、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 3.6.7
  Firefox 3.5.11
  Thunderbird 3.1.1
  Thunderbird 3.0.6
  SeaMonkey 2.0.6

概要

標的とするサイトに不正な CSS セレクタを挿入し、次に JavaScript API を用いてデータを取得することで、ドメインを越えてデータを読み取れることが、Google のセキュリティ研究者 Chris Evans 氏によって報告されました。攻撃者が標的とするサイトのある場所と別の場所に CSS セレクタの開始部分と終了部分を挿入することができた場合、その 2 つの挿入点の間にある範囲が、例えば getComputedStyle() API などの JavaScript を通じて、読み取り可能となります。

参考資料