Mozilla Foundation セキュリティアドバイザリ 2005-36
- タイトル
- グローバルスコープ汚染を通じたクロスサイトスクリプティング
- 重要度
- 高
- 報告者
- shutdown
- 影響を受ける製品
- Firefox
- Mozilla Suite
- 修正済みのバージョン
- Firefox 1.0.3
- Mozilla Suite 1.7.7
概要
あるサイトから別のサイトへ移動する際、新たに開かれたページは白紙の状態で始まらなければなりませんが、ページ間で存続可能な方法で、ウィンドウのグローバルスコープを汚染する方法が shutdown 氏によって報告されました。悪質なスクリプトによって、著名なサイトで使われている既知の変数に対するセッター関数が定義されると、ユーザがそのサイトを訪れた際に、悪質なスクリプトがそのページ内で実行されてしまいます。これにより、セッターのスクリプトが Cookie やページの内容を盗み取ることが可能です。また、そのサイトの設計に大きく依存しますが、潜在的にはユーザに代わってアクションを実行すること (商品の購入や Web メールの削除など) も可能です。
そのオブジェクトは、ウィンドウやタブが閉じられるまで存続します。
回避策
- ログインを必要としたり、機密情報を含むサイトを訪れる際は、必ず新しいウィンドウかタブを開いてください。
- または、JavaScript を無効にしてください。