文:Nathan McFeters(Special to ZDNet) 翻訳校正:石橋啓一郎 2008-03-26 19:23 Robert Hansen氏(R-Snake氏としても知られている)は、米国時間3月20日、興味深い記事をブログに掲載している。R-Snake氏は次のように述べている。 これについて話したことはあったが、今や本当に可能になった。CSRFは今では懲役の罪になり得る。FBIは児童ポルノだと考えられるリンクをクリックした人たちを逮捕し始めた。私はその崇高な目的は理解できるが、その古いロジックにはかなり大きな問題がある。私は、好きな時にユーザーにリンクをクリックさせることができる。そこで、一部の興味深いCSRF技術のグレーな領域が問題になる。司法当局は「リファラーが一致しない」というかも知れない。しかしそのためにMETA refreshがあるのだ。私はリファラーのURLを
問題を悪用されると、不正iFrameなどを使ってクロスサイトフォージェリ(CSRF)攻撃を仕掛けられる恐れがある。 SANS Internet Storm Centerは3月11日、MicrosoftのInternet Explorer 5/6に関する2件の脆弱性情報がセキュリティメーリングリストで公開されたと伝えた。 それによると、IE 5とIE 6に関して、細工を施したURLを使ってファイルの削除といったコマンドを実行することができてしまう脆弱性と、キャッシュされたログイン情報を使って再ログインが可能になるURLを作成できてしまう脆弱性が指摘されている。 これはクロスサイトリクエストフォージェリ(CSRF)の脆弱性のようだとSANSは解説。例えばフォーラムにiFrameを挿入するといった形でユーザーが知らないうちに悪質なURLを参照させ、攻撃を仕掛けることが可能になる。 今回の問題では
情報処理推進機構(IPA)セキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)は10月12日、バッファロー製の無線LANルータ「AirStation WZR-RS-G54」および「同G54HP」にクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見されたとして、JVN(Japan Vulnerability Notes)に情報を公開した。 2製品では、Webブラウザからログインして機器の設定を行える。この際、ユーザーが悪意のある別のサイトにもアクセスしていると、管理用パスワードの変更や、インターネット側から機器の設定画面へのアクセスを許可してしまうなどのユーザーが意図しない設定変更を第三者によって行われる可能性がある。 対象となるのは、ファームウェアのバージョンがWZR-RS-G54ではVer.2.46およびそれ以前、G54HPがVer.2.43お
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
