Mozilla Foundation セキュリティアドバイザリ 2009-40
タイトル: 同一生成元違反となる複数のラッパー回避
重要度: 高
公開日: 2009/07/21
報告者: moz_bug_r_a4
影響を受ける製品: Firefox
修正済みのバージョン: Firefox 3.5
Firefox 3.0.12
概要
通常 XPCCrossOriginWrapper を受け取るオブジェクトが、ラッパーなしで作成されてしまう一連の脆弱性が、Mozilla セキュリティ研究者の moz_bug_r_a4 氏によって報告されました。これは、ある Web サイトの JavaScript が、異なるサイトによって設定されたそうしたオブジェクトのプロパティに対して、安全でない方法でアクセスできる状態を生み出すおそれのある問題でした。悪質な Web サイトは、この脆弱性を利用してクロスサイトスクリプティング (XSS) 攻撃を仕掛け、他のサイトのコンテキストで任意の JavaScript を実行することが可能でした。
回避策
修正版へ更新するまで JavaScript を無効にしてください。