Mozilla Foundation セキュリティアドバイザリ 2008-67

タイトル: エスケープされた NULL 文字が CSS パーサによって無視される
重要度:
公開日: 2008/12/16
報告者: Kojima Hajime
影響を受ける製品: Firefox, Thunderbird, SeaMonkey

修正済みのバージョン: Firefox 3.0.5
  Firefox 2.0.0.19
  Thunderbird 2.0.0.19
  SeaMonkey 1.1.14

概要

適切に処理される通常の NULL 文字と異なり、エスケープされた形の「\0」が CSS パーサによって無視され、CSS 入力文字列内に存在しないかのように扱われることが、Kojima Hajime 氏によって報告されました。この問題は、潜在的には、Web アプリケーションによるスクリプトサニタイズ処理を回避するのに利用される可能性がありました。この問題の重要度は「低」と判断されました。

参考資料