現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2012-02

Mozilla Foundation セキュリティアドバイザリ 2012-02

タイトル: 過度に許容されていた IPv6 リテラル構文による問題
重要度:
公開日: 2012/01/31
報告者: Gregory Fleischer
影響を受ける製品: Firefox、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 7.0
  Firefox 3.6.26
  Thunderbird 7.0
  Thunderbird 3.1.18
  SeaMonkey 2.4

概要

Firefox は歴史的な理由からホストの前後に角括弧を含む Web アドレスを寛容に解釈してきました。このホストが有効な IPv6 リテラルアドレスでなかった場合、Firefox はそれを通常のドメイン名として解釈しようとしていました。XMLHttpRequest オブジェクトを用い、IPv6 構文を使って行われたプロキシ経由のリクエストが、IPv6 のプロキシ設定によってはエラーを引き起こすことが、Gregory Fleischer 氏によって報告されました。そのプロキシから返されるエラーメッセージによって機密情報がさらされる恐れがありました。同一生成元ポリシー (SOP) では XMLHttpRequest オブジェクトがそうしたエラーメッセージの読み取りを許可しており、結果的にユーザのプライバシーが侵害される可能性がありました。Firefox は、RFC 3986 の IPv6 リテラル構文を強制するよう修正されました。これにより、これまで許容されていた非標準の Firefox 専用形式で書かれたリンクが動作しなくなる可能性があります。

この問題は Firefox 7.0、Thunderbird 7.0、SeaMonkey 2.4 では既に修正されており、Firefox 3.6.26、Thunderbird 3.1.18 のみ 2012 年中に修正されました。

参考資料