現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2011-27

Mozilla Foundation セキュリティアドバイザリ 2011-27

タイトル: インライン SVG による XSS エンコーディング問題
重要度:
公開日: 2011/06/21
報告者: Mario Heiderich
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 5

この問題はインライン SVG が実装された Firefox 4 より前のバージョンには影響しません。

概要

HTML エンコードされた実体参照が、インライン SVG 要素内に表示される際、不正にデコードされてしまうことが、セキュリティ研究者の Mario Heiderich 氏によって報告されました。これは、ユーザが用意したコンテンツの HTML エンコーディングに依存しているサイトにおいて、XSS 攻撃につながるおそれがありました。

参考資料