現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2010-05

Mozilla Foundation セキュリティアドバイザリ 2010-05

タイトル: SVG ドキュメントとバイナリ Content-Type の使用による XSS
重要度:
公開日: 2010/02/17
報告者: Georgi Guninski
影響を受ける製品: Firefox、SeaMonkey

修正済みのバージョン: Firefox 3.6
  Firefox 3.5.8
  Firefox 3.0.18
  SeaMonkey 2.0.3

概要

Content-Type: application/octet-stream で送信された SVG ドキュメントが、type="image/svg+xml" を含む <embed> タグによって他のドキュメントに埋め込まれると、その Content-Type が無視されて SVG ドキュメントが通常通り処理されてしまうことが、Mozilla セキュリティ研究者の Georgi Guninski によって報告されました。任意のバイナリデータのアップロードを許可しつつ、スクリプト実行を防ぐために Content-Type: application/octet-stream に依存している Web サイトでは、そうした対策が回避されるおそれがあります。攻撃者は、JavaScript を含む SVG ドキュメントをバイナリファイルとして Web サイトへアップロードし、その SVG ドキュメントを他のサイトの悪質なページへ埋め込むことで、同一生成元ポリシーを回避して、その SVG を配信しているサイトのスクリプト環境へアクセスすることが可能でした。

参考資料