現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2010-62

Mozilla Foundation セキュリティアドバイザリ 2010-62

タイトル: designMode ドキュメントへのコピー&ペーストやドラッグ&ドロップによる XSS
重要度:
公開日: 2010/09/07
報告者: Paul Stone
影響を受ける製品: Firefox、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 3.6.9
  Firefox 3.5.12
  Thunderbird 3.1.3
  Thunderbird 3.0.7
  SeaMonkey 2.0.7

概要

designMode が有効になっているドキュメント上へコピー&ペーストもしくはドロップされた JavaScript が HTML の選択範囲に含まれていると、その JavaScript が、コードがドロップされたサイトのコンテキストで実行されることが、セキュリティ研究者の Paul Stone 氏によって報告されました。悪質なサイトが、ユーザにそうしたアクションを取るよう仕向けることで XSS 攻撃を行う目的で、あるいは、悪質な JavaScript を他のサイトのコンテキストで実行する過程において、この問題を悪用するおそれがありました。

参考資料