バッドタイミング:HTML 5 の新しい策略でハッカーはブラウザの覗き見が可能に~あなたのレンダリングエンジンは誤差 1,000 分の 1 秒以下の精度。それでどんな問題が起こるというのか?(The Register) | ScanNetSecurity
2026.04.27(月)

バッドタイミング:HTML 5 の新しい策略でハッカーはブラウザの覗き見が可能に~あなたのレンダリングエンジンは誤差 1,000 分の 1 秒以下の精度。それでどんな問題が起こるというのか?(The Register)

この API を悪用して、閲覧履歴を推測し、また他のウェブサイトからクロスオリジンデータを読み取るタイミング攻撃(Chrome、Internet Explorer、Firefox に対して行われる)を行うための 2 つの技術が実証されている。

国際 TheRegister
18 views
facebookLINE
HTML5 に搭載されている新しい時間計測機能は、悪意あるウェブサイトにより、犠牲者がブラウザで開いたページを不正に盗み見る目的で悪用される可能性があると主張されている。

Context Information Security のセキュリティ研究者たちは、他のブラウザセッションの閲覧履歴やテキストなどを含めた極秘データを抽出するため、CSS と SVG のグラフィックスがスクリーン上で描画される速度を正確に観察する方法を見出した。

ハッカーたちは、本来ならばユーザーが見るためだけに表示されているウェブページからピクセルの色を読みとる目的で、この時間情報――それは 100 万分の 1 秒まで正確となる可能性がある――を利用することができると、Context のシニアコンサルタント Paul Stone は警告している…

※本記事は有料版メールマガジンに全文を掲載しました

© The Register.


(翻訳:フリーライター 江添佳代子

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 市立奈良病院にサイバー攻撃の疑い ~ 電子カルテ切り離し 全端末の安全を確認

    市立奈良病院にサイバー攻撃の疑い ~ 電子カルテ切り離し 全端末の安全を確認

  2. IPA が SCS評価制度の詳細を公表

    IPA が SCS評価制度の詳細を公表

  3. 被害額 最大約11億円 ~ はてな、不正な送金指示に起因する資金流出

    被害額 最大約11億円 ~ はてな、不正な送金指示に起因する資金流出

  4. 三井住友海上火災保険の出向者、トヨタ自動車の保有する情報を漏えい

    三井住友海上火災保険の出向者、トヨタ自動車の保有する情報を漏えい

  5. いえらぶGROUPのクラウドサービスに不正アクセス、社外関係者等に関する情報が不正に読み出されたことを確認

    いえらぶGROUPのクラウドサービスに不正アクセス、社外関係者等に関する情報が不正に読み出されたことを確認

ランキングをもっと見る
PageTop
ホーム 国際 TheRegister 記事
TOP