現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2010-63

Mozilla Foundation セキュリティアドバイザリ 2010-63

タイトル: XMLHttpRequest の statusText を通じた情報漏えい
重要度:
公開日: 2010/09/07
報告者: Matt Haggard、Nicholas Berthaume
影響を受ける製品: Firefox、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 3.6.9
  Firefox 3.5.12
  Thunderbird 3.1.3
  Thunderbird 3.0.7
  SeaMonkey 2.0.7

概要

XMLHttpRequest オブジェクトの statusText プロパティが、リクエストが異なるオリジン間で行われたものであっても、リクエスト元から読み取り可能であることが、Matt Haggard 氏によって報告されました。このステータス情報は Web サーバの存在を明らかにするもので、非公開ネットワーク上にあるサーバに関する情報を収集するのに利用されるおそれがありました。

この問題は Nicholas Berthaume 氏からも別途 Mozilla へ報告されました。

参考資料