Mozilla Foundation セキュリティアドバイザリ 2009-16

タイトル: jar: スキーマによって内部 URI に指定された content-disposition: ヘッダが無視される
重要度:
公開日: 2009/04/21
報告者: Daniel Veditz
影響を受ける製品: Firefox, Thunderbird, SeaMonkey

修正済みのバージョン: Firefox 3.0.9

概要

Content-Disposition: attachement ヘッダの指定されたコンテンツを提供する URI を内包するのに jar: スキーマが使用された場合、その HTTP ヘッダが無視されて、コンテンツが展開されインラインで表示されてしまうことが、Mozilla 開発者の Daniel Veditz によって報告されました。サイトによっては、自サイト上で提供している潜在的に信頼できないコンテンツがそのサイトのコンテキストで実行されてしまうのを防ぐために、この HTTP ヘッダに依存している可能性があります。攻撃者はこの脆弱性を利用して、コンテンツ注入攻撃を緩和するためにこの仕組みを利用しているサイトに対して攻撃を行うことが可能でした。

この脆弱性は、Firefox 2 および Thunderbird 2 のビルドに使用されている Mozilla 1.8.1 では修正されていません。ただし、この問題が簡単に悪用されるのを防ぐ、いくつかの緩和要素があることに留意してください。Web サイトがこの問題を悪用するには、以下の条件を満たす必要があります。

  1. ユーザに任意のコンテンツのアップロードを許容している
  2. ユーザに任意の MIME タイプを設定すること、あるいは特に、.jar ファイルを application/java-archiveapplication/x-jar で配布することを許容している
  3. 機密情報を含むドメインから、特に Content-Disposition: attachment を使って保護された .jar ファイルを配布している

参考資料