◆◇◆____スレ立て依頼所____◆◇◆
「はてなツールバー」に脆弱性、最新バージョンで修正
情報処理推進機構セキュリティセンター(IPA/ISEC)とJPCERTコーディネーションセンター
(JPCERT/CC)は2月1日、はてなが提供する「はてなツールバー」に脆弱性が存在することを
JVN(JP Vendor Status Notes)を通じて明らかにした。
はてなツールバーは、Internet Explorer向けのプラグインソフト。インストールするとワンクリック
で自分のダイアリーやアンテナ、ブックマークなどに移動できる。
はてなツールバーは、ユーザーが閲覧しているWebページのURL情報を、パラメータも含めて
「はてなサーバ」に送信する機能を備えている。しかしこのとき、通信は暗号化されない。したがっ
て、セッション管理情報などの機密情報をURLに含むWebページにアクセスした際、そうした情報
が悪意あるユーザーに盗聴される可能性がある。攻撃者がこうやって得たセッション管理情報を
悪用し、セッションハイジャックを行う恐れもある。
脆弱性が存在するのはバージョン1.5.4以前。はてなでは、問題を修正した最新バージョンの
1.5.5にアップデートするよう推奨している。
http://www.itmedia.co.jp/enterprise/articles/0602/01/news093.html
情報処理推進機構セキュリティセンター(IPA/ISEC)とJPCERTコーディネーションセンター
(JPCERT/CC)は2月1日、はてなが提供する「はてなツールバー」に脆弱性が存在することを
JVN(JP Vendor Status Notes)を通じて明らかにした。
はてなツールバーは、Internet Explorer向けのプラグインソフト。インストールするとワンクリック
で自分のダイアリーやアンテナ、ブックマークなどに移動できる。
はてなツールバーは、ユーザーが閲覧しているWebページのURL情報を、パラメータも含めて
「はてなサーバ」に送信する機能を備えている。しかしこのとき、通信は暗号化されない。したがっ
て、セッション管理情報などの機密情報をURLに含むWebページにアクセスした際、そうした情報
が悪意あるユーザーに盗聴される可能性がある。攻撃者がこうやって得たセッション管理情報を
悪用し、セッションハイジャックを行う恐れもある。
脆弱性が存在するのはバージョン1.5.4以前。はてなでは、問題を修正した最新バージョンの
1.5.5にアップデートするよう推奨している。
http://www.itmedia.co.jp/enterprise/articles/0602/01/news093.html
|
|
|