Mozilla Foundation セキュリティアドバイザリ 2008-56
タイトル: nsXMLHttpRequest::NotifyEventListeners() の同一生成元違反
重要度: 高
公開日: 2008/11/12
報告者: moz_bug_r_a4
影響を受ける製品: Firefox, Thunderbird, SeaMonkey
修正済みのバージョン: Firefox 3.0.4
Firefox 2.0.0.18
Thunderbird 2.0.0.18
SeaMonkey 1.1.13
概要
nsXMLHttpRequest::NotifyEventListeners() における同一生成元チェックが回避可能であることが、Mozilla セキュリティ研究者の moz_bug_r_a4 氏によって報告されました。この脆弱性は、異なるサイトの文脈で JavaScript を実行するのに利用される可能性がありました。
Thunderbird は Firefox と同じブラウザエンジンを利用しており、JavaScript が有効になっている場合には影響を受けます。デフォルト設定では無効になっており、メールを表示する際は JavaScript を実行させないよう強く推奨します。
回避策
修正版にアップグレードするまで JavaScript を無効にしてください。