Mozilla Foundation セキュリティアドバイザリ 2009-09

タイトル: RDFXMLDataSource とクロスドメインリダイレクトを通じた XML データの読み取り
重要度:
公開日: 2009/03/04
報告者: Georgi Guninski
影響を受ける製品: Firefox, Thunderbird, SeaMonkey

修正済みのバージョン: Firefox 3.0.7
  Thunderbird 2.0.0.21
  SeaMonkey 1.1.15

概要

nsIRDFService とクロスドメインリダイレクトを用いることで、Web サイトが同一生成元ポリシーに反して、他のドメインから任意の XML データを読み取れることが、Mozilla セキュリティ研究者の Georgi Guninski 氏によって報告されました。この脆弱性は、悪質な Web サイトが、リダイレクト先のサイトにログインしているユーザから個人情報を盗み出すのに利用される可能性がありました。

Thunderbird は Firefox と同じブラウザエンジンを利用しており、JavaScript が有効になっている場合には影響を受けます。 デフォルト設定では無効になっており、メールを表示する際は JavaScript を実行させないよう強く推奨します。

回避策

修正版にアップグレードするまで JavaScript を無効にしてください。

参考資料