Mozilla Foundation セキュリティアドバイザリ 2009-68

タイトル: NTLM リフレクション脆弱性
重要度:
公開日: 2009/12/15
報告者: Takehiro Takahashi
影響を受ける製品: Firefox、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 3.5.6
  Firefox 3.0.16
  Thunderbird 2.0.0.24
  SeaMonkey 2.0.1
  SeaMonkey 1.1.19

概要

Mozilla の NTLM 実装がリフレクション攻撃に対して脆弱であり、ブラウザを通じてあるアプリケーションの NTLM 認証情報を他の任意のアプリケーションへ転送できることが、IBM X-Force のセキュリティ研究者である Takehiro Takahashi 氏によって報告されました。攻撃者が、ユーザに自身が管理する Web ページを訪れさせることができた場合、NTLM 認証の行われたリクエストをユーザに代わって他のアプリケーションへ転送させることが可能でした。

参考資料