現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2014-66

Mozilla Foundation セキュリティアドバイザリ 2014-66

タイトル: リダイレクトを通じた iframe サンドボックスの同一生成元アクセス
重要度:
公開日: 2014/07/22
報告者: Boris Zbarsky
影響を受ける製品: Firefox、Thunderbird

修正済みのバージョン: Firefox 31
  Thunderbird 31

概要

ネットワークレベルのリダイレクトによって <iframe> サンドボックス固有の生成元が失われ、allow-same-origin キーワード適用時のような挙動になってしまうという問題が、Mozilla 開発者の Boris Zbarsky によって発見されました。これにより、サンドボックス内のコンテンツが、同一生成元にある他のコンテンツへ明示的な許可なくアクセスすることが可能でした。

Thunderbird では JavaScript が初期設定で無効になっているため、一般的にこれらの脆弱性はメールを通じた悪用が不可能です。ただしこれらの製品でも、ブラウザもしくはブラウザに類似した機能を利用した場合、潜在的なリスクが生じます。

参考資料