現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2010-68

Mozilla Foundation セキュリティアドバイザリ 2010-68

タイトル: Gopher パーサによる href 属性のパースから生じる XSS
重要度:
公開日: 2010/10/19
報告者: Robert Swiecki
影響を受ける製品: Firefox、SeaMonkey

修正済みのバージョン: Firefox 3.6.11
  Firefox 3.5.14
  SeaMonkey 2.0.9

概要

Gopher パーサによってテキストを HTML タグへ変換するのに使用されている関数が、テキストを実行可能な JavaScript へ変換するのに悪用される可能性のあることが、Google のセキュリティ研究者 Robert Swiecki 氏によって報告されました。攻撃者が名前の一部にエンコードしたスクリプトを含むファイルもしくはディレクトリを Gopher サーバ上に作成できた場合、そのスクリプトが被害者のブラウザ上でそのサイトのコンテキストで実行されてしまいます。

参考資料