Mozilla Foundation セキュリティアドバイザリ 2008-64

タイトル: XMLHttpRequest 302 レスポンスの開示
重要度:
公開日: 2008/12/16
報告者: Marius Schilder
影響を受ける製品: Firefox, Thunderbird, SeaMonkey

修正済みのバージョン: Firefox 3.0.5
  Firefox 2.0.0.19
  Thunderbird 2.0.0.19
  SeaMonkey 1.1.14

概要

XMLHttpRequest が、異なるドメインにあるリソースに 302 リダイレクトを行う同一生成元リソースに対して行われた場合、ドメインを越えたリソースからのレスポンスが、その XHR を行ったサイトによって読み取り可能であることが、Google Security の Marius Schilder 氏によって報告されました。HttpOnly 指定が行われた Coookie を読み取ることはできませんが、URL パラメータやレスポンス本文に含まれる内容など、その他の潜在的な機密情報が、XHR レスポンスによって曝される可能性がありました。

Thunderbird は Firefox と同じブラウザエンジンを利用しており、JavaScript が有効になっている場合には影響を受けます。デフォルト設定では無効になっており、メールを表示する際は JavaScript を実行させないよう強く推奨します。

回避策

修正版にアップグレードするまで JavaScript を無効にしてください。

参考資料