IE だけではなかったスクリプトの脆弱性〜R-MSサイトの危険度高まる〜
独自のHTMLレンダリングエンジンを搭載するWebブラウザ「Opera」にもInternet Explorer同様に、Cookie情報が漏えいするセキュリティホールが発見された。
このブラウザは先日バージョン 6.0で日本語に対応したベータ版が発表されたばかりで、マルチプラットフォーム
製品・サービス・業界動向
業界動向
このブラウザは先日バージョン 6.0で日本語に対応したベータ版が発表されたばかりで、マルチプラットフォーム対応、W3Cへの準拠の良さから注目を集めてきた。
しかし、Internet Explorer同様に、第三者がスクリプトを利用し、Cookieファイルに保存された情報を不正に引き出すことが出来るセキュリティホールが発見されている。現在のところ、Windows版の5.12、Linux版の5.0でこの脆弱性が確認されているが、他のバージョンにも同様のセキュリティホールが存在する可能性が高い。
本誌では、スクリプトに対する脆弱性や、セキュリティホールの多さから、Internet Explorerの利用を控えるように勧めてきた。しかしながら、こうしてOperaでも同様の問題が発覚したことにより、他のブラウザでも決して安心が出来ないことが分かる。
今後はInternet Explorerでないブラウザを使用していても、使用者レベルでの心がけも必要になってくるだろう。改めてスクリプトを利用するR-MSサイトに対し注意してアクセスするよう、心がけていただきたい。
[Prisoner Chaturanga]
Several javascript vulnerabilities in Opera
http://msgs.securepoint.com/cgi-bin/get/bugtraq0111/85.html
企業の競争戦略の一環としてのセキュリティ軽視(2001.11.13)
https://www.netsecurity.ne.jp/article/1/3273.html
スクリプトの利用を強要するサイトはネット利用者の脅威である(2001.11.12)
https://www.netsecurity.ne.jp/article/1/3263.html
スクリプト強要のあふれる企業 web 無知で無自覚な web に歯止めを(2001.11.12)
https://www.netsecurity.ne.jp/article/1/3264.html
国土交通省、中小企業庁など官公庁にもスクリプトを強要する危険なサイト(2001.11.12)
https://www.netsecurity.ne.jp/article/1/3265.html
スクリプト強要する企業サイト一覧 危険なサイトに「R-MSマーク」を(2001.11.12)
https://www.netsecurity.ne.jp/article/1/3269.html
安全への意識の低い企業 安易なスクリプト利用が被害を拡大 メールマーケティングによりさらなる被害拡大の可能性(2001.9.19)
https://www.netsecurity.ne.jp/article/1/2843.html
スクリプトやクッキーなど企業の論理の押し付けwebは間接的な共犯者?利用者のセキュリティ無視のHTMLメールの推進はさらに危険!(2001.8.27)
https://www.netsecurity.ne.jp/article/1/2709.html
(詳しくはScan本誌をご覧下さい)
http://www.vagabond.co.jp/vv/m-sc.htm
《ScanNetSecurity》