現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2010-60

Mozilla Foundation セキュリティアドバイザリ 2010-60

タイトル: SJOW のスクリプト記述された関数を用いた XSS
重要度:
公開日: 2010/09/07
報告者: moz_bug_r_a4
影響を受ける製品: Firefox、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 3.5.12
  Thunderbird 3.0.7
  SeaMonkey 2.0.7

概要

Mozilla 1.9.1 開発ブランチ上のラッパークラス XPCSafeJSObjectWrapper (SJOW) のスクリプト記述された関数の実装に論理エラーがあり、呼び出し元が他のサイトのコンテキストで関数を実行できてしまうことが、Mozilla セキュリティ研究者の moz_bug_r_a4 氏によって報告されました。これは同一生成元ポリシーに反するもので、XSS 攻撃を仕掛けるのに悪用されるおそれがありました。

参考資料