セキュリティメーカーTrio社、サイトのセキュリティホールふさぐ

先日ハッカー研究チームTeam EliteがTrio社のWebサイトの脆弱性を発見した。これはフィッシング詐欺に関連した脆弱性だった。Trio社は携帯機器向けセキュリティメーカー。

同研究チームはSymantec社、 Eset社、Panda Security社のWebサイトでもクロスサイトスクリプト（XSS、Cross-site scripting）の大きなバグを発見した。3社は急いでこのバグを修正した。XSSはソフトウェアのセキュリティホールの一つ。訪問者の入力を画面に表示するWebサイトプログラムが訪問者のブラウザに悪意のあるコードを誤って送ってしまう脆弱性の事。

掲示版などでプログラムのチェック機能が甘いと、悪意を持った訪問者がフォームから投稿したJavaScriptなどのスクリプトコードがそのままサイトのHTMLに埋め込まれてしまう場合がある。そしてページを閲覧した他の訪問者のコンピュータでそのスクリプトが実行されてしまう。

このXSSの可能性をハッカーに発見された場合、ハッカーに悪意のあるサイト（ポップアップ、悪意のあるスクリプト等）へのリンクをつけられてしまう危険がある。特に不注意な人をだまして悪意のあるサイトに手渡すフィッシング詐欺に使われる危険性が高い。

先日Twitterのサイトがハッキングされたが、このハッキングは悪名高いonMouseoverワームを使ったものでXSSのバグを悪用したものだった。幸いユーザーはハッキングされたXSSを使わず被害はなかった。

今回の指摘でセキュリティメーカーのサイトでさえXSSのハッキングが起こりうるという事が証明された。シマンテックのようなセキュリティメーカーも注意すべきだ。



Anti-virus vendor trio plug website flaws
http://www.theregister.co.uk/2010/10/04/anti_virus_vendor_xss_snafu/