Mozilla Foundation セキュリティアドバイザリ 2009-50

タイトル: 過大な行高の Unicode 文字を通じたロケーションバーの偽装
重要度:
公開日: 2009/09/09
報告者: Juan Pablo Lopez Yacubian
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 3.5.3
  Firefox 3.0.14

概要

ロケーションバーやその他テキスト入力欄の描画に利用されている既定の Windows フォントが、特定の Unicode 文字を過大な行高で不適切に表示することが、セキュリティ研究者の Juan Pablo Lopez Yacubian 氏によって報告されました。そうした場合、過大な行高によってその入力欄の他の文字が縦方向にずれて表示されるため、見えなくなってしまう現象が発生していました。攻撃者がこの脆弱性を利用すると、悪質なサイトの URL をユーザに見せないようにすることが可能でした。

この問題は Corrie Sloot 氏からも別途 Mozilla へ報告されました。

参考資料