現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2015-148

Mozilla Foundation セキュリティアドバイザリ 2015-148

タイトル: WebExtension API における特権昇格問題
重要度: 最高
公開日: 2015/12/15
報告者: Kris Maglione
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 43

概要

WebExtension API を使った特権昇格の仕組みが、Mozilla の開発者 Kris Maglione によって報告されました。これは、特定 WebExtension の API が呼び出された際に、任意の Web コンテンツがその特権でコードを実行することを可能にする問題でした。その拡張機能で使用されている特権によっては、個人情報の漏えいやクロスサイトスクリプティング (XSS) 攻撃、ブラウザ Cookie の読み取りに悪用される恐れがありました。ただし、この問題の影響を受ける WebExtension をインストールしているという条件があるため、その分重要性は緩和されています。

参考資料