現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2012-78

Mozilla Foundation セキュリティアドバイザリ 2012-78

タイトル: リーダーモードページによるクローム特権の所有
重要度: 最高
公開日: 2012/10/09
報告者: Warren He
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 16

概要

Android 版 Firefox でページをリーダーモードに切り替えた際、変換後のページがクローム特権を所有しており、その内容がまったくサニタイズされていないことが、セキュリティ研究者の Warren He 氏によって報告されました。攻撃を成功させるにはユーザが悪質なページでリーダーモードを有効にする必要がありますが、一度成功すればクロスサイトスクリプティング (XSS) に似た攻撃を仕掛けることで、Android 端末上で Firefox に許可されている特権を取得することが可能でした。この問題はリーダーモードのページを非特権に変更することで修正されました。

この脆弱性は Android 版 Firefox のみに影響します。

参考資料