現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2011-56

Mozilla Foundation セキュリティアドバイザリ 2011-56

タイトル: SVG アニメーションを通じた JavaScript 不要のキー判別
重要度:
公開日: 2011/12/20
報告者: Mario Heiderich
影響を受ける製品: Firefox、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 9.0
  Thunderbird 9.0
  SeaMonkey 2.6

概要

SVG アニメーションの accessKey イベントを使うと、JavaScript が無効の場合でもキー入力を判別できてしまうことが、セキュリティ研究者の Mario Heiderich 氏によって報告されました。Web ページは通常スクリプトを使ってキーイベントを判別し、多くのユーザはスクリプトを有効にしているため、ほとんどのユーザはこの問題による影響を受けません。ユーザがスクリプトの無効化を認識している場合に (例えばメール表示画面や NoScript ユーザ)、悪質な Web ページがユーザを騙して、ブラウザもしくはメールソフトが表示しているかのように見せかけたプロンプトに文字を入力させることも可能でした。

Thunderbird や SeaMonkey でメールを開いたときのリモートコンテンツの表示は、初期設定では無効化されています。リモートでのキー入力の捕捉を成功させるには、ユーザを説得して設定を有効にさせる必要があり、何らかのソーシャルエンジニアリングの技術が必要となるでしょう。

SVG アニメーションは Thunderbird 3.1 や Firefox 3.6 には実装されていません。

参考資料