現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2010-79

Mozilla Foundation セキュリティアドバイザリ 2010-79

タイトル: data: URL の meta refresh を通じて読み込まれた LiveConnect による Java セキュリティ制限の回避
重要度: 最高
公開日: 2010/12/09
報告者: Gregory Fleischer
影響を受ける製品: Firefox、SeaMonkey

修正済みのバージョン: Firefox 3.6.13
  Firefox 3.5.16
  SeaMonkey 2.0.11

概要

Java LiveConnect スクリプトが、meta refresh によってリダイレクトされる data: URL を通じて読み込まれると、誤ったセキュリティプリンシパルを持つプラグインオブジェクトが生成され、その結果、ローカルファイルの読み取り、プロセスの実行、ネットワーク接続の作成といった機能を利用可能な、より高度な特権が得られてしまうことが、セキュリティ研究者の Gregory Fleischer 氏によって報告されました。

参考資料