Mozilla Foundation セキュリティアドバイザリ 2008-65

タイトル: スクリプトリダイレクトエラーメッセージを通じたクロスドメインデータ読み取り
重要度:
公開日: 2008/12/16
報告者: Chris Evans
影響を受ける製品: Firefox, Thunderbird, SeaMonkey

修正済みのバージョン: Firefox 3.0.5
  Firefox 2.0.0.19, 2.0.0.20
  Thunderbird 2.0.0.19
  SeaMonkey 1.1.14

概要

Web サイトが、JavaScript としてパースできないデータを含む外部ドメインのターゲットリソースへリダイレクトを行う、同一ドメインの JavaScript URL を読み込むことで、その異なるドメインにある限られた量のデータにアクセスできることが、Google セキュリティ研究者の Chris Evans 氏によって報告されました。データを JavaScript として読み込もうとする際に文法エラーが生成され、window.onerror DOM API を通じてファイルコンテキストの一部がさらされてしまいます。

この問題は、悪意のある Web サイトが、リダイレクト先のサイトに認証しているユーザから、個人情報を盗み出すのに利用される可能性がありました。読み取り可能となるデータの量は、データの形式や JavaScript パーサの解析方法によります。たいていのファイルについては、収集できるデータの量は最初の 1 文字か 2 文字に限られます。一部のデータファイルの場合、何度も読みこみを行うことで、より深く調査することが可能でした。

Thunderbird は Firefox と同じブラウザエンジンを利用しており、JavaScript が有効になっている場合には影響を受けます。デフォルト設定では無効になっており、メールを表示する際は JavaScript を実行させないよう強く推奨します。

2008/12/18 更新: Firefox 2.0.0.19 の Windows 版が、この問題の修正が含まれない状態でリリースされてしまいました (他のプラットフォーム向けは正しくパッチが適用されていました)。この過失を修正するため Windows 版の Firefox 2.0.0.20 がリリースされました。

回避策

修正版にアップグレードするまで JavaScript を無効にしてください。

参考資料