現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2010-32

Mozilla Foundation セキュリティアドバイザリ 2010-32

タイトル: Content-Type: multipart 設定時に Content-Disposition: attachment が無視される
重要度:
公開日: 2010/06/22
報告者: Ilja van Sprundel
影響を受ける製品: Firefox、SeaMonkey

修正済みのバージョン: Firefox 3.6.4
  Firefox 3.5.10
  SeaMonkey 2.0.5

概要

HTTP の Content-Type: multipart ヘッダが設定されていたときに、Content-Disposition: attachment ヘッダが無視されてしまうことが、IOActive のセキュリティ研究者 Ilja van Sprundel 氏によって報告されました。この問題は、任意のファイルのアップロードと Content-Type の指定をユーザに許可しながら、コンテンツのインライン表示を防ぐために Content-Disposition: attachment に依存しているサイトにおいて、クロスサイトスクリプティング (XSS) 脆弱性につながる潜在的な可能性を含むものでした。

参考資料