現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2015-118

Mozilla Foundation セキュリティアドバイザリ 2015-118

タイトル: 寛容なリーダーモードのホワイトリストに起因する CSP の回避
重要度:
公開日: 2015/11/03
報告者: Mario Heiderich、Frederik Braun
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 42

概要

Firefox のリーダーモードにおけるセキュリティ保護が回避され、スクリプトが実行される可能性があるという問題が、セキュリティ研究者の Mario Heiderich 氏によって報告されました。同じ問題が、Mozilla 開発者の Frederik Braun によっても別途発見、報告されました。この問題は、リーダービューが許可される HTML コンテンツのホワイトリストを通じて、ページレンダリング時のスクリプトを明示的に無効化している場合も発生します。Heiderich 氏からは、このホワイトリストが寛容過ぎるため、悪質なサイトがコンテンツを操作して CSP 保護を回避することが可能であり、おそらくクロスサイトスクリプティング (XSS) 攻撃も可能となってしまうという問題が指摘されました。

参考資料