Mozilla Foundation セキュリティアドバイザリ 2008-13
- タイトル
- 文字エンコーディングに起因する複数の XSS 脆弱性
- 重要度
- 中
- 公開日
- 2008/03/25
- 報告者
- Alexey Proskuryakov 氏、Yosuke Hasegawa 氏、Simon Montagu
- 影響を受ける製品
- Firefox
- Thunderbird
- SeaMonkey
- 修正済みのバージョン
- Firefox 2.0.0.12
- Thunderbird 2.0.0.12
- SeaMonkey 1.1.8
概要
Mozilla の HTML パーサが、HTML の仕様や他のブラウザの実装に反して、バックスペース文字を空白として扱っていることが、Webkit 開発者の Alexey Proskuryakov 氏によって報告されました。この違いは、仕様に従って入力をフィルタしているサイトにおいてクロスサイトスクリプティング (XSS) のリスクにつながるおそれがありました。
Mozilla 製品が Shift_JIS エンコーディングのもとで制御文字「0x80」をパースする方法に関する脆弱性が Yosuke Hasegawa 氏によって報告されました。この脆弱性は潜在的に、Web サイトの入力フィルタを回避するのに利用され、結果的に XSS 攻撃をもたらしかねないものでした。調査を進める中で、この脆弱性に類似した、ISO-2022-JP、ISO-2022-CN、ISO-2022-KR、HZ-GB-2312 におけるゼロ長の非 ASCII 文字列に関するいくつか問題が、Mozilla 開発者の Simon Montagu によって報告されました。
これらの脆弱性は Firefox 2.0.0.12 およびそれ以前のバージョンで修正されましたが、他のブラウザベンダーが関連する脆弱性を修正するまで公開が見送られていました。
回避策
修正版にアップグレードするまで JavaScript を無効にしてください。これらの脆弱性はパーサに含まれるものですが、主なリスクは、スクリプトが有効になっていなければ成功しない XSS 攻撃の実行にこれらが利用されることです。