現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2016-05

Mozilla Foundation セキュリティアドバイザリ 2016-05

タイトル: 保存された data URL ショートカットを通じた Android 版 Firefox のロケーションバー偽装
重要度:
公開日: 2016/01/26
報告者: Muneaki Nishimura
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 44

概要

Android 版 Firefox 上での表示される URL とブックマークに関する問題が、セキュリティ研究者の Muneaki Nishimura 氏によって報告されました。ホームスクリーン上に保存されたショートカットから、あるいは Android にインストールされているほかのアプリケーションの BOOKMARK インテントから data: URL が開かれた場合、コンテンツが他のページへリダイレクトされた場合でも、ロケーションバーがその data: URL を表示し続け、コンテンツの本来の配信元を隠してしまうことが分かりました。これは data: URL のホスト処理方法に関するミスによる問題でした。

この問題は Android 版 Firefox にのみ影響します。他の OS 向け Firefox は影響を受けません。

参考資料