Mozilla Foundation セキュリティアドバイザリ 2008-24
タイトル: キャッシュファイルからのクロームスクリプトの読み込み
重要度: 最高
公開日: 2008/07/01
報告者: moz_bug_r_a4
影響を受ける製品: Firefox, Thunderbird, SeaMonkey
修正済みのバージョン: Firefox 3.0
Firefox 2.0.0.15
Thunderbird 2.0.0.16
SeaMonkey 1.1.10
概要
特権を持たない XUL ドキュメントが、ブラウザ内部で利用されている chrome: URI からスクリプトを読み込んだ場合、あらかじめコンパイルされたキャッシュファイルに保存されている特権レベルを取得可能であることが、Mozilla セキュリティ研究者の moz_bug_r_a4 氏によって報告されました。これは、攻撃者がクローム特権で任意の JavaScript コードを実行するのを許しかねない問題でした。
注意: Thunderbird は、メッセージのプレビューで JavaScript が無効になっていれば影響を受けません。デフォルト設定では無効になっており、メッセージを表示する際は JavaScript を実行させないよう強く推奨します。
回避策
修正版にアップグレードするまで JavaScript を無効にしてください。