現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2015-149

Mozilla Foundation セキュリティアドバイザリ 2015-149

タイトル: data および view-source URI を通じたクロスサイト読み取り攻撃
重要度: 最高
公開日: 2015/12/15
報告者: Tsubasa Iinuma
影響を受ける製品: Firefox、Firefox ESR、Thunderbird、Firefox OS

修正済みのバージョン: Firefox 43
  Firefox ESR 38.5
  Thunderbird 38.5
  Firefox OS 2.5

概要

同一オリジンポリシーに反し、data: および view-source: URI を用いたコンテンツの保護機構を混乱させ、セキュリティ制限を回避する仕組みが、セキュリティ研究者の Tsubasa Iinuma 氏によって報告されました。この問題はクロスサイト URL やローカルファイルからのデータ読み取りに悪用される恐れがありました。

参考資料