Mozilla Foundation セキュリティアドバイザリ 2008-44

タイトル: resource: トラバーサル脆弱性
重要度:
公開日: 2008/09/23
報告者: Boris Zbarsky, Georgi Guninski
影響を受ける製品: Firefox, Thunderbird, SeaMonkey

修正済みのバージョン: Firefox 3.0.2
  Firefox 2.0.0.17
  Thunderbird 2.0.0.17
  SeaMonkey 1.1.12

概要

resource: プロトコルにおいて URL エンコードされたスラッシュを用いた場合に、Linux 上でディレクトリトラバーサルが可能になることが、Mozilla 開発者の Boris Zbarsky によって報告されました。

ローカル HTML ファイルに課せられた制限が、resource: プロトコルを用いることで回避可能であることが、Mozilla 開発者の Georgi Guninski によって報告されました。この脆弱性は、攻撃者がシステムに関する情報を読み取ったり、そうした情報をファイルに保存するよう被害者に対して指示することを可能にするものでした。

参考資料