記事登録
2008年06月26日(木) 12時13分

『Yahoo! Mail』にクロスサイト スクリプティングの脆弱性japan.internet.com

近ごろ Yahoo! が頭を悩ませているのは、従業員と怒れる株主の追及をいかにして切り抜けるかだけではない。

同社は現在、経営方針をめぐる戦いだけでなく、セキュリティの脆弱性の問題とも戦っている。

オンライン Eメールサービス『Yahoo! Mail』にクロスサイト スクリプティング (XSS) の脆弱性が存在したことを Yahoo! は認めた。

XSS 問題は、Web ベースのアプリケーションに存在する脆弱性のなかで最も一般的、かつ危険度の高い脆弱性の1つで、攻撃者がユーザーから情報を盗んだり、ユーザーのマシンを悪意あるコードに感染させたりする危険性がある。

セキュリティベンダの Cenzic でマーケティング担当バイスプレジデントを務める Mandeep Khera 氏は取材に応じて、「Cenzic の CIA (Cenzic Intelligent Analysis) Research Lab は5月23日、Yahoo! に (同脆弱性のことを) 通知した」と語っている。

Yahoo! は問題を調査して、重大な脆弱性であることを確認するとすみやかに対策に取りかかり、6月13日には同脆弱性の修正を完了した。

Cenzic はさらに時間をかけて調査し、Yahoo! がこの問題を公式発表する前にパートナーのサーバーを含めた同社のすべてのサーバーについて、セキュリティのアップデートを行なったことを確認した。

Yahoo! の広報担当者 Kelley Podboy 氏は取材に対して、Cenzic から報告のあった XSS 問題が実際に存在し、その問題はすでに解決されたことを認めた。Yahoo! は、Cenzic から連絡があるまで同脆弱性の存在に気づいていなかったという。

「今回 Cenzic は、われわれが問題を迅速に解決できるように、責任ある態度で Yahoo! に問題について直接連絡してくれた」と、Podboy 氏は述べた。

Yahoo! によると、今回の XSS 問題で影響を受けたり被害に遭ったりしたユーザーはいないという。

今回の XSS 脆弱性問題は、すでにオンライン アプリケーションで統合されている Yahoo! Mail と『Yahoo! Messenger』の双方に関係する。同 XSS 脆弱性問題に関する Cenzic の説明によると、チャット中に、攻撃者は自分のステータスを「見えない」状態にし、ユーザーのチャットタブに「オフライン」マークを出させることができるという。

Cenzic のセキュリティ警告は、次のように説明している。「攻撃者は同脆弱性を利用してステータスを変更しておき、悪意あるコードを含むカスタムメッセージを『オンライン』になったことを示すステータス メッセージの形にして送信できる。するとそのコードが標的にされたマシン上で Yahoo! Mail の流れにしたがって実行される」

【関連記事】
Web サイトの90%に脆弱性
『Firefox 2.0.0.12』公開、多数のセキュリティ修正
『Gmail』と『IE』に新たな脆弱性、Cenzic が指摘
Cenzic、実動環境でのセキュリティテストに仮想化を導入
Mozilla、セキュリティ更新版『Firefox 2.0.0.10』をリリース

http://headlines.yahoo.co.jp/hl?a=20080626-00000007-inet-secu

最新のニュース記事一覧
お問い合わせ