Mozilla Foundation セキュリティアドバイザリ 2008-64
タイトル: XMLHttpRequest 302 レスポンスの開示
重要度: 中
公開日: 2008/12/16
報告者: Marius Schilder
影響を受ける製品: Firefox, Thunderbird, SeaMonkey
修正済みのバージョン: Firefox 3.0.5
Firefox 2.0.0.19
Thunderbird 2.0.0.19
SeaMonkey 1.1.14
概要
XMLHttpRequest が、異なるドメインにあるリソースに 302 リダイレクトを行う同一生成元リソースに対して行われた場合、ドメインを越えたリソースからのレスポンスが、その XHR を行ったサイトによって読み取り可能であることが、Google Security の Marius Schilder 氏によって報告されました。HttpOnly 指定が行われた Coookie を読み取ることはできませんが、URL パラメータやレスポンス本文に含まれる内容など、その他の潜在的な機密情報が、XHR レスポンスによって曝される可能性がありました。
Thunderbird は Firefox と同じブラウザエンジンを利用しており、JavaScript が有効になっている場合には影響を受けます。デフォルト設定では無効になっており、メールを表示する際は JavaScript を実行させないよう強く推奨します。
回避策
修正版にアップグレードするまで JavaScript を無効にしてください。