Mozilla Foundation セキュリティアドバイザリ 2005-11
- タイトル
- メールクライアントが Cookie の要求に応じる
- 重要度
- 高
- 報告者
- Michiel van Leeuwen
- 修正済みのバージョン
- Thunderbird 1.0
- Mozilla Suite 1.7.5
- 影響を受けるバージョン
- Thunderbird 0.6 - 0.9
- Mozilla Suite 1.7 - 1.7.3
概要
2004 年 3 月から 12 月までの間にリリースされた Mozilla のメールクライアントは、HTTP を通じてコンテンツが読み込まれた際に、「network.cookie.disableCookieForMailNews」の設定 (メールクライアントではデフォルトで無効になっています) を無視して Cookie の要求に応じていました。メッセージ (スパムメールなど) に含まれた Cookie がユーザ行動の追跡に利用される可能性があります。
回避策
- メールクライアントがリモートコンテンツを完全に読み込まないよう設定してください (Thunderbird のデフォルト設定。Mozilla Suite では「メッセージ本体を以下のように表示する > プレーンテキスト」オプション)。
- 修正済みのバージョンにアップグレードしてください。