Mozilla Foundation セキュリティアドバイザリ 2006-63
- タイトル
- XBL を通じたメール内での JavaScript 実行
- 重要度
- 高
- 公開日
- 2006/09/14
- 報告者
- Georgi Guninski
- 影響を受ける製品
- Thunderbird
- SeaMonkey
- 修正済みのバージョン
- Thunderbird 1.5.0.7
- SeaMonkey 1.0.5
概要
メールクライアントで JavaScript が無効になっている場合 (既定の設定) でも、メッセージによって読み込まれるリモートの XBL ファイルにスクリプトを埋め込むことで、そのメールが表示、返信、転送されたときに JavaScript を実行可能であることが、Georgi Guninski 氏によって実証されました。実行されるスクリプトは、メッセージの内容や見た目を変えるために使われたり、返信時や転送時に追加されるコンテンツを傍受する「メールタップ」として利用される可能性があります。例えば、攻撃者がライバル企業に挑発的な提案を行って、メッセージが転送、返信されるタイミングで内部の議論を追うようなことが可能です。
XBL ファイルを読み込ませて JavaScript を実行するためには、被害者に、メッセージごと、あるいは標準で「画像を読み込む」設定を有効にさせる必要があります。
回避策
この問題は、メッセージのオリジナル HTML を表示させないようにすることで、被害を防げます。代わりに、[表示] メニューの [メッセージ本体] から [シンプル HTML] または [プレーンテキスト] オプションを選択してください。
同様に、メッセージの返信時、転送時に、アカウント設定の [HTML 形式でメッセージを編集する] オプションのチェックを外し、プレーンテキストエディタを使うようにすることでも被害を防ぐことができます。
参考資料
https://bugzilla.mozilla.org/show_bug.cgi?id=346984
CVE-2006-4570