同一生成元ポリシー回避の脆弱性を確認、影響は広範に及ぶ | トレンドマイクロ セキュリティブログ

独立系セキュリティ専門家の Rafay Baloch 氏は、2014年9月、Android端末の内蔵ブラウザに深刻な脆弱性が存在することを明らかにしました。この脆弱性により、ブラウザの「同一生成元ポリシー」が侵害され、「ユニバーサルクロスサイトスクリプティング（UXSS）」攻撃が実行される可能性があります。 攻撃者は、iframe を利用してユーザがアカウントを持っている正規の Webサイトを読む込む可能性がありました。今回の脆弱性により、攻撃者は、Webサイト上で Javaスクリプトを実行することができるようになります。これは、本来であれば、「同一生成元ポリシー」によって実行できないことです。「同一生成元ポリシー」とは、ある生成元から読み込まれた文書やスクリプトが、異なる生成元からの文書のプロパティを取得したり設定したりするのを防ぐポリシーです。「同一生成元ポリシー」が侵害された結果、ユ

[tmatsuu]

oh

[yamitzky]

こんなので実行できちゃうの・・・

[itochan315]

Android標準のブラウザ、いろいろ厳しいしChrome使えば良い

[naga_sawa]

いろいろと Android デフォルトブラウザはダメダメやな/WebViewもchomeベースにしてデフォルトブラウザ捨てたらいいのに/WebView互換のChromeViewとかできんのだろうか

[kjw_junichi]

０から10だと11だが、16進数だから0x00から0x20で33個なのかぁｗ

[efcl]

AndroidのブラウザでU+0000-U+0020 の文字列を使うとsame originを無視してiframe先のサイトでJSを実行出来てしまうUXSSについて