Mozilla Foundation セキュリティアドバイザリ 2005-46

タイトル
JavaScript 無効時にも XBL スクリプトが実行される
重要度
報告者
moz_bug_r_a4
影響を受ける製品
Firefox
Thunderbird
Mozilla Suite
修正済みのバージョン
Firefox 1.0.5
Thunderbird 1.0.5
Mozilla Suite 1.7.10

概要

Web コンテンツの XBL コントロールに含まれるスクリプトが、JavaScript が無効になっている場合にも実行されてしまいます。それ自体悪影響を及ぼすわけではありませんが、スクリプトを使ったほとんどの手口と組み合わせて、脆弱なバージョンを使いつつ JavaScript を無効にしていれば安全と考えているユーザを攻撃することが可能です。

Thunderbird と Mozilla Suite のメールクライアントでは、サービス拒否 (DoS) 攻撃やワームの被害を防ぐため JavaScript はデフォルトで無効になっていますが、この脆弱性はその保護措置を回避するのに利用される可能性があります。

回避策

参考資料