XMLHttpRequestオブジェクトの脆弱性はFirefox／Mozilla以外のブラウザにも影響

IPAとJPCERT/CCによると、先日リリースされた「Firefox 1.0.7」「Mozilla Suite 1.7.12」で修正された脆弱性の1つが、他の複数のWebブラウザにも存在するという。

[ITmedia]

　情報処理推進機構（IPA）セキュリティセンターとJPCERTコーディネーションセンター（JPCERT/CC）は9月30日、先日リリースされた「Firefox 1.0.7」「Mozilla Suite 1.7.12」で修正された脆弱性の1つが、他の複数のWebブラウザにも存在するとし、警告を発した。

　JVNの情報によると、問題となっているのはJavaScriptのXMLHttpRequestオブジェクトの処理に関する脆弱性だ。

　XMLHttpRequestオブジェクトは、Webページの再読み込みを行うことなくサーバと通信するための機能を提供するものだ。本来ならば、JavaScriptの制限によって、アクセスしているWebページと同一のドメイン内としか通信を行えないようになっているはずだが、脆弱性を悪用されるとこの制限を回避されてしまう。結果として、ブラウザが保有している認証情報やCookie情報を第三者に盗み見られてしまうおそれがある。

　この脆弱性はMozilla FoundationのGeckoレンダリングエンジンに起因するもので、Firefox／Mozilla Suiteのほか、「Lunascape」のGeckoエンジンプラグイン（Ver 1.00／1.01）および「Opera 8.02以前」にも影響があるという。

　Firefox／Mozilla Suiteについては既に修正が施されているほか、Operaでは最新バージョンの8.50にアップグレードすることで対応可能という。またルナスケープでは、Mozilla Foundationの対応を待って、Geckoエンジンプラグインをアップデートすることで修正する予定という。

　なお、Internet Explorerについても、XmlHttpRequestオブジェクトに起因する新たな脆弱性が報告されているが、JVNの情報によると、この脆弱性に関するマイクロソフトのステータスは「該当製品なし」となっている。