Mozilla Foundation セキュリティアドバイザリ 2008-61
タイトル: loadBindingDocument を通じた情報の読み取り
重要度: 中
公開日: 2008/12/16
報告者: Boris Zbarsky
影響を受ける製品: Firefox, Thunderbird, SeaMonkey
修正済みのバージョン: Firefox 2.0.0.19
Thunderbird 2.0.0.19
SeaMonkey 1.1.14
概要
XBL バインディングを利用することで、同一生成元ポリシーに反し、他のドメインから情報を読み取れることが、Mozilla 開発者の Boris Zbarsky によって報告されました。この問題の重要度は、いくつかの緩和要因によって「中」と判断されました。
- 情報を読み取るには、対象となるドキュメントに XBL 名前空間の <bindings> 要素が含まれている必要があります。
- 情報を読み取る側では、読み取るバインディングの
id属性をあらかじめ知っている必要があります。 - Web サービスがこのような形で個人情報をさらしているとは考えにくいです。
Firefox 3 はこの問題の影響を受けません。
Thunderbird は Firefox と同じブラウザエンジンを利用しており、JavaScript が有効になっている場合には影響を受けます。デフォルト設定では無効になっており、メールを表示する際は JavaScript を実行させないよう強く推奨します。
回避策
Mozilla 1.9.0 ブランチ以降のソースコードからビルドされた製品、例えば Firefox 3 は、この問題の影響を受けません。これらの製品のいずれかにアップグレードすることがこの問題の信頼できる回避策であり、また Mozilla では、いずれの Mozilla 製品においても最新版を利用することを推奨しています。あるいは、修正版にアップグレードするまで JavaScript を無効にしてください。