Mozilla Foundation セキュリティアドバイザリ 2009-05

タイトル: XMLHttpRequest によって HTTPOnly 属性付き Cookie が読み取られる
重要度: 低
公開日: 2009/02/03
報告者: Wladimir Palant
影響を受ける製品: Firefox, SeaMonkey

修正済みのバージョン: Firefox 3.0.6
  SeaMonkey 1.1.15

概要

HTTPOnly 属性の指定された Cookie が、XMLHttpRequest.getResponseHeader と XMLHttpRequest.getAllResponseHeaders API を通じて JavaScript によって読み取り可能であることが、開発者で Mozilla コミュニティメンバーの Wladimir Palant 氏によって報告されました。この脆弱性は、document.cookie への JavaScript アクセスを制限することを意図した、HTTPOnly フラグによって提供されるセキュリティ機構を回避するものでした。

今回、Cookie に HTTPOnly フラグがセットされているかどうかに関わらず、すべてのレスポンスの Set-Cookie および Set-Cookie2 ヘッダに XMLHttpRequest 機能がアクセスできないように修正が行われました。

参考資料

• https://bugzilla.mozilla.org/show_bug.cgi?id=380418
• CVE-2009-0357