現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2015-26

Mozilla Foundation セキュリティアドバイザリ 2015-26

タイトル: 背面のタブで開かれている UI Tour ホワイトリスト追加済みのサイトが前面のタブを偽装できてしまう
重要度:
公開日: 2015/02/24
報告者: Matthew Noorenberghe
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 36

概要

Firefox 向けの UI Tour ページが背面のタブで開かれている状態で、ホワイトリストに追加されている Mozilla のドメインが UITour API を呼び出せてしまうことが、Mozilla 開発者の Matthew Noorenberghe によって報告されました。そうした Mozilla のドメインのいずれかが不正アクセスされて他のタブに開かれた場合、攻撃者がそのタブを利用して前面のタブで偽装やクリックジャッキング攻撃を仕掛けることも可能でした。

参考資料