現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2014-82

Mozilla Foundation セキュリティアドバイザリ 2014-82

タイトル: Alarms API を通じたクロスオリジンオブジェクトアクセス
重要度:
公開日: 2014/10/14
報告者: Boris Zbarsky
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 33
  Firefox ESR 31.2

概要

悪質なアプリが AlarmAPI を使用し、iframe の location オブジェクトなどのクロスオリジン参照の値をアラームの JSON データの一部として読み取れることが、Mozilla の開発者 Boris Zbarsky によって報告されました。これは悪質なアプリが同一生成元ポリシーを回避するのを許してしまう問題でした。

ユーザは Web アプリがインストールされている場合のみこの問題の影響を受けます。

参考資料