現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2016-04

Mozilla Foundation セキュリティアドバイザリ 2016-04

タイトル: Firefox で Cookie に制御文字を設定できてしまう問題
重要度:
公開日: 2016/01/26
報告者: musicDespiteEverything、Nicholas Hurley
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 44

概要

RFC6265 に反して Cookie の値に不正な制御文字を保存できてしまう問題が、セキュリティ研究者の musicDespiteEverything 氏によって 以前報告されていました。この問題の修正中、Mozilla の開発者 Nicholas Hurley が、Cookie の名前にも同じ問題が存在することに気付きました。そうした文字を Cookie の名前に使うことは許容されなくなりました。この問題は Web サーバによる Cookie の誤処理につながる恐れがありました。

参考資料