現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2015-78

Mozilla Foundation セキュリティアドバイザリ 2015-78

タイトル: PDF リーダーを通じた同一配信元違反とローカルファイル漏えい
重要度: 最高
公開日: 2015/08/06
報告者: Cody Crews
影響を受ける製品: Firefox、Firefox ESR、Firefox OS

修正済みのバージョン: Firefox 39.0.3
  Firefox ESR 38.1.1
修正済みのバージョン: Firefox OS 2.2

概要

同一配信元ポリシーに違反し、組み込み PDF ビューアーの非特権部分にスクリプトを注入する方法が、セキュリティ研究者の Cody Crews 氏によって報告されました。この問題は、攻撃者が被害者のコンピュータ上にある機密情報を含むローカルファイルを読み取り、盗み出すのに悪用される恐れがありました。

Mozilla はこの脆弱性を元にした攻撃コードが実際に発見されたとの報告を受けています。

参考資料