Mozilla Foundation セキュリティアドバイザリ 2009-18

タイトル: サードパーティのスタイルシートと XBL バインディングを用いた XSS 攻撃
重要度:
公開日: 2009/04/21
報告者: Cefn Hoile
影響を受ける製品: Firefox, Thunderbird, SeaMonkey

修正済みのバージョン: Firefox 3.0.9

概要

サードパーティ製スタイルシートの埋め込みをユーザに許可しているサイトが、XBL バインディングを用いたスクリプト注入攻撃に対して脆弱であることが、Web 開発者の Cefn Hoile 氏によって報告されました。この挙動は過去に文書化されているものの、この具体的なリスクは一部のサイトでは十分に理解されていないと判断されました。Mozilla では、このリスクを軽減するため、XBL バインディングに対し結合ドキュメントとして同一生成元に由来することを求める制限を加えました。

Thunderbird は Firefox と同じブラウザエンジンを利用しており、JavaScript が有効になっている場合には影響を受けます。 デフォルト設定では無効になっており、メールを表示する際は JavaScript を実行させないよう強く推奨します。

参考資料