現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2015-121

Mozilla Foundation セキュリティアドバイザリ 2015-121

タイトル: Add-on SDK パネル内のスクリプト無効化が機能していない
重要度:
公開日: 2015/11/03
報告者: Jason Hamilton, Peter Arremann, Sylvain Giroux
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 42

概要

Add-on SDK を使ってブラウザ拡張機能の中で panel が作られた際の脆弱性が、アドオン作者の Jason HamiltonPeter Arremann 両氏により、AMO エディタの Sylvain Giroux 氏とともに報告されました。オプション script: false でパネルを定義した場合、スクリプトの実行が無効化されるはずですが、実際のところインラインスクリプトが実行されてしまうことが発見されました。これは、拡張機能内での潜在的なスクリプトコンテンツの実行が明示的に禁止されている場合にも、それが可能になってしまうという問題でした。

この問題の潜在的な影響は、アドオンがセキュリティ機構として script: false に依存しているかどうかや、パネルコンテンツの読み込み元によります。addons.mozilla.org から配信されているアドオンでこの問題の影響を受けるものはありませんが、外部のサイトからインストールされたアドオンに関しては影響を受ける可能性があります。

参考資料