Mozilla Foundation セキュリティアドバイザリ 2009-17

タイトル: Adobe Flash が view-source: スキーマを通じて読み込まれる際の同一生成元違反
重要度:
公開日: 2009/04/21
報告者: Gregory Fleischer
影響を受ける製品: Firefox, Thunderbird, SeaMonkey

修正済みのバージョン: Firefox 3.0.9
  Thunderbird 2.0.0.22
  SeaMonkey 1.1.17

概要

Adobe Flash ファイルが view-source: スキーマを通じて読み込まれると、Flash プラグインがコンテンツの生成元がローカルホストであると誤って解釈し、以下のような 2 つの具体的な脆弱性につながることが、セキュリティ研究者の Gregory Fleischer 氏によって報告されました。

  1. その Flash ファイルが、crossdomain.xml の仕組みによって課せられた制限を回避し、任意のサードパーティサイトへHTTP リクエストを開始することが可能でした。攻撃者はこの脆弱性を利用することで、それらのサイトに対するクロスサイトリクエストフォージェリ (CSRF) 攻撃を行うことが可能性でした。
  2. その Flash ファイルが、ローカルリソースとして扱われることで、ユーザのコンピュータ上にある Local Shared Objects を読み書きすることが可能でした。攻撃者はこの脆弱性を利用することで、Cookie のようなオブジェクトをユーザのコンピュータ上に保存し、複数のサイトを越えてそれらを追跡することが可能でした。

また、jar: プロトコルを利用すると、view-source: プロトコルを通じて読み込まれたコンテンツがレンダリングされるのを防ぐ通常の制限を回避できることも、同氏によって報告されました。

Thunderbird は Firefox と同じブラウザエンジンを利用しており、JavaScript が有効になっている場合には影響を受けます。 デフォルト設定では無効になっており、メールを表示する際は JavaScript を実行させないよう強く推奨します。

参考資料