現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2012-55

Mozilla Foundation セキュリティアドバイザリ 2012-55

タイトル: innerURI 付き feed URL によってページのセキュリティコンテキストが継承される
重要度:
公開日: 2012/07/17
報告者: Mario Gomes、Soroush Dalili
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 14
  Firefox ESR 10.0.6

概要

Mozilla 製品では、疑似プロトコル feed: を正規 URL の接頭辞として使えることから、特定のコンテキストでスクリプトを実行できる feed:javascript: 形式の URL を生成できることが、セキュリティ研究者の Mario GomesSoroush Dalili 両氏によって報告されました。一部のサイトでは、これを悪用することで javascript: URL を取り除く出力フィルタを回避することが可能かもしれず、その場合、そうした影響を受けるサイトに対するクロスサイトスクリプティング (XSS) 攻撃の原因となる可能性がありました。

参考資料