現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2014-14

Mozilla Foundation セキュリティアドバイザリ 2014-14

タイトル: HTML メールへの返信によるスクリプト実行
重要度:
公開日: 2014/02/06
報告者: Fabián Cuchietti, Ateeq ur Rehman Khan
影響を受ける製品: Thunderbird、SeaMonkey

修正済みのバージョン: Thunderbird 23
  SeaMonkey 2.20

概要

メッセージ内に data: URL で <iframe> を埋め込むことにより、メッセージ内での JavaScript 実行に関する制限を回避できることが、セキュリティ研究者の Fabián Cuchietti 氏によって発見されました。被害者がメッセージを受け取り、Thunderbird の HTML メールエディタを使って「インライン」で引用し、返信もしくは転送すると、添付されたスクリプトが実行されてしまいます。実行されるスクリプトはメッセージ編集ウィンドウ内に制限され、メッセージの送信前にその内容を監視したり編集したりといったことが潜在的に可能でした。受信者が単にメッセージを表示しただけではスクリプトは実行されず、HTML 形式で編集した場合のみ実行されます。HTML 編集を無効化することでこの問題を防ぐことができ、またメッセージを「添付ファイルとして」転送しても回避可能です。

<object> タグを用いたこの攻撃の類似例が、Vulnerability Labs の Ateeq ur Rehman Khan 氏によって報告されました。これは、画像、音声、動画などのオブジェクトデータ形式を添付するのに使用される可能性がありました。

この問題は Thunderbird 17 ブランチに影響するもので、Gecko 23 以降のプラットフォームをベースとしたすべてのバージョンで修正されています。Thunderbird 24 以降のバージョンはこの脆弱性の影響を受けません。

参考資料