Mozilla Foundation セキュリティアドバイザリ 2008-65
タイトル: スクリプトリダイレクトエラーメッセージを通じたクロスドメインデータ読み取り
重要度: 高
公開日: 2008/12/16
報告者: Chris Evans
影響を受ける製品: Firefox, Thunderbird, SeaMonkey
修正済みのバージョン: Firefox 3.0.5
Firefox 2.0.0.19, 2.0.0.20
Thunderbird 2.0.0.19
SeaMonkey 1.1.14
概要
Web サイトが、JavaScript としてパースできないデータを含む外部ドメインのターゲットリソースへリダイレクトを行う、同一ドメインの JavaScript URL を読み込むことで、その異なるドメインにある限られた量のデータにアクセスできることが、Google セキュリティ研究者の Chris Evans 氏によって報告されました。データを JavaScript として読み込もうとする際に文法エラーが生成され、window.onerror DOM API を通じてファイルコンテキストの一部がさらされてしまいます。
この問題は、悪意のある Web サイトが、リダイレクト先のサイトに認証しているユーザから、個人情報を盗み出すのに利用される可能性がありました。読み取り可能となるデータの量は、データの形式や JavaScript パーサの解析方法によります。たいていのファイルについては、収集できるデータの量は最初の 1 文字か 2 文字に限られます。一部のデータファイルの場合、何度も読みこみを行うことで、より深く調査することが可能でした。
Thunderbird は Firefox と同じブラウザエンジンを利用しており、JavaScript が有効になっている場合には影響を受けます。デフォルト設定では無効になっており、メールを表示する際は JavaScript を実行させないよう強く推奨します。
2008/12/18 更新: Firefox 2.0.0.19 の Windows 版が、この問題の修正が含まれない状態でリリースされてしまいました (他のプラットフォーム向けは正しくパッチが適用されていました)。この過失を修正するため Windows 版の Firefox 2.0.0.20 がリリースされました。
回避策
修正版にアップグレードするまで JavaScript を無効にしてください。