現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2015-136

Mozilla Foundation セキュリティアドバイザリ 2015-136

タイトル: performance.getEntries と履歴遷移を通じた同一オリジンポリシー違反
重要度:
公開日: 2015/12/15
報告者: cgvwzq
影響を受ける製品: Firefox、Firefox ESR

修正済みのバージョン: Firefox 43
  Firefox ESR 38.7

概要

ページの配信にインラインフレームとともに performance.getEntries() が使われていた場合、リダイレクト後のクロスオリジン URL を読み取れることが、セキュリティ研究者の cgvwzq 氏によって報告されました。スクリプトを通じて履歴を戻った場合、元の場所に行かず、リダイレクト後の場所のコンテンツがブラウザキャッシュから引き出されていました。これは同一オリジンポリシー違反であり、データ搾取に悪用される恐れがありました。

この問題は、Mozilla 製品に限らず、他のブラウザにも影響します。

参考資料