Mozilla Foundation セキュリティアドバイザリ 2009-19

タイトル: XMLHttpRequest と XPCNativeWrapper.toString を通じた同一生成元違反
重要度:
公開日: 2009/04/21
報告者: moz_bug_r_a4
影響を受ける製品: Firefox, Thunderbird, SeaMonkey

修正済みのバージョン: Firefox 3.0.9

概要

URI が XMLHttpRequest を用いたドキュメントのプリンシパルに一致しないドキュメントを作成できることが、Mozilla セキュリティ研究者の moz_bug_r_a4 氏によって報告されました。こうした不一致は、プリンシパルに基づくセキュリティチェックの結果に間違いをもたらします。攻撃者はこの脆弱性を利用して、他のサイトのコンテキストで任意の JavaScript を実行することが可能でした。

XPCNativeWrapper.toString__proto__ が誤ったスコープに由来し、その結果、特定の状況下でその関数の呼び出しが誤ったコンテキストで実行されてしまうことが、moz_bug_r_a4 氏によって別件で報告されました。攻撃者はこの脆弱性を利用して、異なるサイトのコンテキストで任意のコードを実行することが可能でした。また、クロームが content.toString.call() を呼び出した場合、攻撃者が定義した関数がクローム特権で実行されてしまいました。

Thunderbird は Firefox と同じブラウザエンジンを利用しており、JavaScript が有効になっている場合には影響を受けます。 デフォルト設定では無効になっており、メールを表示する際は JavaScript を実行させないよう強く推奨します。

参考資料