現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2015-43

Mozilla Foundation セキュリティアドバイザリ 2015-43

タイトル: リーダーモードを通じた特権付きコンテンツの読み込み
重要度:
公開日: 2015/04/03
報告者: Armin Razmdjou
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 37.0.1

概要

Android 版 Firefox の「リーダーモード」機能に関する脆弱性が、セキュリティ研究者の Armin Razmdjou 氏によって報告されました。リーダーモードは Web コンテンツを読みやすいように表示し直し、元のコンテンツと同じ非特権コンテンツとして動作します。リーダーモードがコンテンツを処理できない場合、元の Web ページ表示します。これは非特権の機能であるため、リーダーモードのコンテンツへリンクする、あるいはそれをフレームに含めるページに関する制限はありません。報告された脆弱性は、特権付き URL がリーダーモードに渡され、Web ページが特権付きコンテキストへの参照を取得するのを防ぐ通常の制限が回避されてしまうというものでした。この問題が、同一オリジンポリシー違反を可能にする他の脆弱性と組み合わされた場合、結果として発生する攻撃が任意のコード実行につながる恐れがありました。

この脆弱性は Android 版 Firefox とデスクトップ版 Firefox の開発版のみに影響します。デスクトップ版 Firefox の現行版にはリーダーモードが含まれていないため影響を受けません。

参考資料