Mozilla Foundation セキュリティアドバイザリ 2008-59
タイトル: メッセージ内の .documentURI および .textContent へのスクリプトによるアクセス
重要度: 低
公開日: 2008/11/19
報告者: Boris Zbarsky
影響を受ける製品: Thunderbird, SeaMonkey
修正済みのバージョン: Thunderbird 2.0.0.18
SeaMonkey 1.1.13
概要
メッセージの受取人がメッセージの表示画面で JavaScript を有効にしていた場合、悪意のあるメールメッセージが、メールボックス URI からの受取人に関する個人情報 (コンピュータアカウント名など) を収集可能であることが、Mozilla 開発者の Boris Zbarsky によって報告されました。悪意のあるメッセージが JavaScript を有効にしている受取人へ「インライン」で転送された場合、転送者によって追加されたコメントがメッセージ内のスクリプトによってアクセスされる可能性がありました。また、メッセージからリモートコンテンツの読み込みが許可された場合、そのコメントが悪意のある元の送信者に漏えいする潜在的な可能性がありました。
メールメッセージ内のスクリプトが、DOM プロパティ .documentURI および .textContent にアクセスできなくする修正が取られました。
Thunderbird は Firefox と同じブラウザエンジンを利用しており、JavaScript が有効になっている場合には影響を受けます。デフォルト設定では無効になっており、メールを表示する際は JavaScript を実行させないよう強く推奨します。
回避策
修正版にアップグレードするまで JavaScript を無効にしてください。