Mozilla Foundation セキュリティアドバイザリ 2009-26

タイトル: ローカル file: リソースによる任意ドメイン Cookie へのアクセス
重要度:
公開日: 2009/06/11
報告者: Gregory Fleischer
影響を受ける製品: Firefox, SeaMonkey

修正済みのバージョン: Firefox 3.0.11
  SeaMonkey 1.1.17

概要

file: プロトコルを通じて読み込まれたローカルリソースが、ユーザのコンピュータ上に保存されているすべてのドメインの Cookie へアクセスできてしまうことが、セキュリティ研究者の Gregory Fleischer 氏によって報告されました。ローカルドキュメントのドメインがその URL を元に誤って設定されていたことが同氏によって実証されました。被害者が悪質なファイルをダウンロードするよう仕向けられ、そのファイルを実際にブラウザ内で開くと、被害者のコンピュータ上に保存されている任意の Cookie が盗み出される恐れがありました。この攻撃にはユーザによる一連の操作が求められることから、問題の重要度は「中」と判断されました。

参考資料