現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2012-46

Mozilla Foundation セキュリティアドバイザリ 2012-46

タイトル: data URL を通じた XSS
重要度:
公開日: 2012/07/17
報告者: moz_bug_r_a4
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 14
  Firefox ESR 10.0.6

概要

data: URL を使ったコンテキストメニューを通じたクロスサイトスクリプティング (XSS) 攻撃が、Mozilla のセキュリティ研究者 moz_bug_r_a4 によって報告されました。この問題では、コンテキストメニューの機能 (「画像だけを表示」「このフレームだけを表示」「背景画像だけを表示」) が javascript: URL では使用できないにもかかわらず、data: URL では使用可能であり、この問題を悪用することで XSS を仕掛けることが可能でした。これは任意のコード実行につながる恐れがありました。

参考資料