Mozilla Foundation セキュリティアドバイザリ 2009-73

タイトル: GeckoActiveXObject の例外メッセージを利用したインストール済み COM オブジェクトの列挙
重要度:
公開日: 2009/12/15
報告者: Gregory Fleischer
影響を受ける製品: Firefox、SeaMonkey

修正済みのバージョン: Firefox 3.5.6
  Firefox 3.0.16
  SeaMonkey 2.0.1

概要

Mozilla の GeckoActiveXObject によって生成される例外メッセージが、要求された COM オブジェクトの ProgID がシステムレジストリに存在するかどうかによって異なることが、セキュリティ研究者の Gregory Fleischer 氏によって報告されました。悪質なサイトは、この脆弱性を利用して、ユーザのシステム上にインストールされている COM オブジェクトの一覧を列挙し、ブラウジングセッションを越えてユーザを追跡するプロファイルを作成することが可能でした。

参考資料