プロフィール
  • プロフィール画像
  • アイコン画像 ニックネーム:eswkpyeaytcucf
読者になる
2010年07月
« 前の月    |    次の月 »
1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31
Yapme!一覧
読者になる
YouTubeにXSS攻撃、不正ポップアップなどの被害広がる / 2010年07月06日(火)
 動画共有サイトの米YouTubeを狙った攻撃が発生し、ショッキングなデマが流れたり、コメントが表示されなくなるなどの影響が広がった。7月4日から5日にかけて、米セキュリティ機関のSANS Internet Storm Centerや英Sophosなどが伝えた。

 それによると、この攻撃ではYouTubeのコメントシステムに存在するクロスサイトスクリプティング(XSS)の脆弱性が悪用された。この影響でコメントが表示されなくなったり、画面に「ニュース速報:(歌手の)ジャスティン・ビーバーが交通事故で死亡」というデマがポップアップ表示されるなどの被害が広がった。ほかにも不正なポップアップが出たり、悪趣味なWebサイトにリダイレクトされたりするケースが相次いだという。

 Googleは攻撃発生から2時間ほどでこの問題に対処したと伝えられている。

 SANSによれば、YouTubeが使っているコメントアプリケーションの出力データの暗号化処理に問題が存在した。これを突いて攻撃者がcookieを盗み、JavaScriptコードを仕込んでユーザーのWebブラウザで実行させることができてしまったとみられる。

 こうした攻撃では、攻撃者が細工を施したJavaScriptをWebブラウザで実行させ、cookieを盗むだけでなく、偽のログインページを表示させるなどあらゆることができてしまうとSANSは指摘。XSSの脆弱性は極めて危険だと警鐘を鳴らしている。 7月6日10時41分配信 ITmedia エンタープライズ
http://headlines.yahoo.co.jp/hl?a=20100706-00000013-zdn_ep-secu
 
   
Posted at 15:21/ この記事のURL
P R
カテゴリアーカイブ
月別アーカイブ
 
 
Powered by yaplog!