現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2010-69

Mozilla Foundation セキュリティアドバイザリ 2010-69

タイトル: モーダルな呼び出しを通じたクロスサイト情報漏えい
重要度:
公開日: 2010/10/19
報告者: Eduardo Vela Nava
影響を受ける製品: Firefox、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 3.6.11
  Firefox 3.5.14
  Thunderbird 3.1.5
  Thunderbird 3.0.9
  SeaMonkey 2.0.9

概要

Web ページが新しいウィンドウを開き、alert() などの javascript: URL を使ってモーダルな呼び出しを行い、その後でページを異なるドメインへ遷移させた場合、モーダルな呼び出しが返ったとき、その新しいウィンドウを開いた元のウィンドウが、遷移されたウィンドウ内のオブジェクトに対するアクセス権を得られることが、セキュリティ研究者の Eduardo Vela Nava 氏によって報告されました。これは同一生成元ポリシー違反であり、攻撃者が他のサイトから情報を盗み出すのに使用されるおそれがありました。

参考資料