Mozilla Foundation セキュリティアドバイザリ 2009-73
タイトル: GeckoActiveXObject の例外メッセージを利用したインストール済み COM オブジェクトの列挙
重要度: 低
公開日: 2009/12/15
報告者: Gregory Fleischer
影響を受ける製品: Firefox、SeaMonkey
修正済みのバージョン: Firefox 3.5.6
Firefox 3.0.16
SeaMonkey 2.0.1
概要
Mozilla の GeckoActiveXObject によって生成される例外メッセージが、要求された COM オブジェクトの ProgID がシステムレジストリに存在するかどうかによって異なることが、セキュリティ研究者の Gregory Fleischer 氏によって報告されました。悪質なサイトは、この脆弱性を利用して、ユーザのシステム上にインストールされている COM オブジェクトの一覧を列挙し、ブラウジングセッションを越えてユーザを追跡するプロファイルを作成することが可能でした。