Mozilla Foundation セキュリティアドバイザリ 2008-47

タイトル: ローカルショートカットファイルを通じた情報の読み取り
重要度:
公開日: 2008/11/12
報告者: Liu Die Yu
影響を受ける製品: Firefox, SeaMonkey

修正済みのバージョン: Firefox 3.0.4
  Firefox 2.0.0.18
  SeaMonkey 1.1.13

概要

ローカルに保存された .url ショートカットファイルが、ローカルキャッシュに保存されている情報の読み取りに利用される可能性のあることが、TopsecTianRongXin のセキュリティ研究者 Liu Die Yu によって報告されました。攻撃者はこの脆弱性を利用することで、被害者に 2 つの別々のファイル (.url ショートカットと HTML ファイル) をダウンロードさせることができた場合、被害者のブラウザキャッシュから情報を読み取ることが可能でした。この攻撃手法は相対的に見て複雑であることから、問題の重要度は「中」と判断されました。

回避策

修正版にアップグレードするまで JavaScript を無効にしてください。

参考資料