同一生成元ポリシー回避の脆弱性を確認、影響は広範に及ぶ | トレンドマイクロ セキュリティブログ独立系セキュリティ専門家の Rafay Baloch 氏は、2014年9月、Android端末の内蔵ブラウザに深刻な脆弱性が存在することを明らかにしました。この脆弱性により、ブラウザの「同一生成元ポリシー」が侵害され、「ユニバーサルクロスサイトスクリプティング(UXSS)」攻撃が実行される可能性があります。 攻撃者は、iframe を利用してユーザがアカウントを持っている正規の Webサイトを読む込む可能性がありました。今回の脆弱性により、攻撃者は、Webサイト上で Javaスクリプトを実行することができるようになります。これは、本来であれば、「同一生成元ポリシー」によって実行できないことです。「同一生成元ポリシー」とは、ある生成元から読み込まれた文書やスクリプトが、異なる生成元からの文書のプロパティを取得したり設定したりするのを防ぐポリシーです。「同一生成元ポリシー」が侵害された結果、ユ
