現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2012-28

Mozilla Foundation セキュリティアドバイザリ 2012-28

タイトル: Origin ヘッダのあいまいな IPv6 による Web サーバのアクセス制限回避
重要度:
公開日: 2012/04/24
報告者: Simone Fabiano
影響を受ける製品: Firefox、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 12.0
  Thunderbird 12.0
  SeaMonkey 2.9

概要

クロスサイト XHR あるいは WebSocket が、IPv6 アドレス使用時に通常 Web トラフィックに使用されない非標準のポートを用いた Web サーバ上で開かれると、その IPv6 アドレスが少なくとも 2 つの連続した 16 ビットの 0 フィールドを含んでいた場合、ブラウザがあいまいな Origin ヘッダを送信してしまうことが、セキュリティ研究者の Simone Fabiano 氏によって報告されました。IPv6 リテラルを用いたオリジンアクセス制御リストが設定されていた場合、この問題がそうしたサーバ上でのアクセス制御を回避するのに利用される恐れがありました。

参考資料