7 年目のバグの底知れぬ影響力、CAPTCHA の大混乱~ JQuery Validation Plugin デモスクリプトが修正される(The Register) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.07.20(土)

7 年目のバグの底知れぬ影響力、CAPTCHA の大混乱~ JQuery Validation Plugin デモスクリプトが修正される(The Register)

「このセキュリティのバグは、それが生まれて以来、何万ものウェブサイトに広がってきたように見える。あくまでも大雑把な推測ではあるが、このバグの影響を受けるウェブサイトが 20,000 あったとしても、私は驚かない」

国際 TheRegister
CAPTCHA で利用される jQuery Validation Plugin のデモスクリプトの欠陥(7 年前から存在していた)のおかげで、一晩かけて修復された反射型クロスサイトスクリプティング(reflected XSS)の問題は、数百万ものウェブサイトに影響を及ぼすかもしれない、とオランダのペンテスター Sijmen Ruwhof が語っている。

この CAPTCHA の「深刻な」脆弱性は、2007 年から存在していたものと見られており、それは危険に晒されたサイト(そのデモスクリプトを利用しているサイト)への反射型クロスサイトスクリプティング(reflected XSS)攻撃を通したハイジャックに繋がるものだ。

Ruwhof は 8 月にクライアントペネトレーションテストを行っていた際、偶然、この jQuery Validation Plugin の欠陥に気がついた。それから彼は「jQuery のメンテナンスに関連づけられた複数のメールアドレス」に宛てて、それを何度も通知したものの、耳を傾けられず、パッチは適用されなかったと主張している。

《ScanNetSecurity》

関連記事

PageTop

特集

アクセスランキング

  1. 「NOTICE」など取組が奏功か、Mirai関連パケット減少--定点観測レポート(JPCERT/CC)

    「NOTICE」など取組が奏功か、Mirai関連パケット減少--定点観測レポート(JPCERT/CC)

  2. BEC(ビジネスメール詐欺)対策ポイントを2つの代表的被害事例から学ぶ

    BEC(ビジネスメール詐欺)対策ポイントを2つの代表的被害事例から学ぶ

  3. 「カテエネ」へパスワードリスト型攻撃、個人情報最大234件閲覧可能状態に(中部電力)

    「カテエネ」へパスワードリスト型攻撃、個人情報最大234件閲覧可能状態に(中部電力)

  4. 華為のウェブに■■■■の脆弱性、■■■■の顧客情報や■■■■にリスクが及んだ可能性、■■■■を修復済(The Register)

    華為のウェブに■■■■の脆弱性、■■■■の顧客情報や■■■■にリスクが及んだ可能性、■■■■を修復済(The Register)

  5. 仮想通貨の不正流出、ホットウォレットの秘密鍵が窃取された可能性(リミックスポイント、ビットポイントジャパン)

    仮想通貨の不正流出、ホットウォレットの秘密鍵が窃取された可能性(リミックスポイント、ビットポイントジャパン)

  6. イオンスクエアメンバーへパスワードリスト型攻撃、10名の個人情報が閲覧された可能性(イオンドットコム)

    イオンスクエアメンバーへパスワードリスト型攻撃、10名の個人情報が閲覧された可能性(イオンドットコム)

  7. より危険な目的に転用可能なAndroidマルウェアを発見(チェック・ポイント)

    より危険な目的に転用可能なAndroidマルウェアを発見(チェック・ポイント)

  8. 複数のOracle製品に脆弱性、製品の存在確認を含め対応を呼びかけ(JPCERT/CC、IPA)

    複数のOracle製品に脆弱性、製品の存在確認を含め対応を呼びかけ(JPCERT/CC、IPA)

  9. クックパッドが「CrowdStrike Falcon プラットフォーム」を採用(CrowdStrike Japan)

    クックパッドが「CrowdStrike Falcon プラットフォーム」を採用(CrowdStrike Japan)

  10. サイボウズ「Garoon」に複数の脆弱性(JVN)

    サイボウズ「Garoon」に複数の脆弱性(JVN)

ランキングをもっと見る