Mozilla Foundation セキュリティアドバイザリ 2009-62
タイトル: RTL 文字によるダウンロードファイル名の偽装
重要度: 低
公開日: 2009/10/27
報告者: Jesse Ruderman、Sid Stamm
影響を受ける製品: Firefox、Thunderbird、SeaMonkey
修正済みのバージョン: Firefox 3.5.4
Firefox 3.0.15
Thunderbird 2.0.0.24
SeaMonkey 2.0
SeaMonkey 1.1.19
概要
右から左へ書く (RTL) オーバーライド文字をファイル名に含むファイルをダウンロードする際、ダウンロードダイアログのタイトルバーに表示されるファイル名が、ダイアログ本体に表示されるファイル名と矛盾することが、Mozilla セキュリティ研究者の Jesse Ruderman、Sid Stamm 両氏によって報告されました。攻撃者はこの脆弱性を悪用して、ダウンロードされ開かれるファイルの名前と拡張子を分かりづらくして、潜在的には、非実行ファイルを開こうとするユーザの意志に反して、実行ファイルを起動させることが可能でした。