『Yahoo! Mail』にクロスサイト スクリプティングの脆弱性

この記事のURLhttp://japan.internet.com/webtech/20080626/11.html

近ごろ Yahoo! が頭を悩ませているのは、従業員と怒れる株主の追及をいかにして切り抜けるかだけではない。

同社は現在、経営方針をめぐる戦いだけでなく、セキュリティの脆弱性の問題とも戦っている。

オンライン Eメールサービス『Yahoo! Mail』にクロスサイト スクリプティング (XSS) の脆弱性が存在したことを Yahoo! は認めた。

XSS 問題は、Web ベースのアプリケーションに存在する脆弱性のなかで最も一般的、かつ危険度の高い脆弱性の1つで、攻撃者がユーザーから情報を盗んだり、ユーザーのマシンを悪意あるコードに感染させたりする危険性がある。

セキュリティベンダの Cenzic でマーケティング担当バイスプレジデントを務める Mandeep Khera 氏は取材に応じて、「Cenzic の CIA (Cenzic Intelligent Analysis) Research Lab は5月23日、Yahoo! に (同脆弱性のことを) 通知した」と語っている。

Yahoo! は問題を調査して、重大な脆弱性であることを確認するとすみやかに対策に取りかかり、6月13日には同脆弱性の修正を完了した。

Cenzic はさらに時間をかけて調査し、Yahoo! がこの問題を公式発表する前にパートナーのサーバーを含めた同社のすべてのサーバーについて、セキュリティのアップデートを行なったことを確認した。

Yahoo! の広報担当者 Kelley Podboy 氏は取材に対して、Cenzic から報告のあった XSS 問題が実際に存在し、その問題はすでに解決されたことを認めた。Yahoo! は、Cenzic から連絡があるまで同脆弱性の存在に気づいていなかったという。

「今回 Cenzic は、われわれが問題を迅速に解決できるように、責任ある態度で Yahoo! に問題について直接連絡してくれた」と、Podboy 氏は述べた。

Yahoo! によると、今回の XSS 問題で影響を受けたり被害に遭ったりしたユーザーはいないという。

今回の XSS 脆弱性問題は、すでにオンライン アプリケーションで統合されている Yahoo! Mail と『Yahoo! Messenger』の双方に関係する。同 XSS 脆弱性問題に関する Cenzic の説明によると、チャット中に、攻撃者は自分のステータスを「見えない」状態にし、ユーザーのチャットタブに「オフライン」マークを出させることができるという。

Cenzic のセキュリティ警告は、次のように説明している。「攻撃者は同脆弱性を利用してステータスを変更しておき、悪意あるコードを含むカスタムメッセージを『オンライン』になったことを示すステータス メッセージの形にして送信できる。するとそのコードが標的にされたマシン上で Yahoo! Mail の流れにしたがって実行される」

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。