iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性 HASHコンサルティング株式会社 公開日:2009年11月24日 概要 iモードブラウザ2.0のJavaScriptとDNS Rebinding問題の組み合わせにより、iモードIDを利用した認証機能(以下かんたんログイン)に対する不正アクセスが可能となる場合があることを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者には至急の対策を推奨する。 背景携帯電話のかんたんログインとは、ケータイブラウザ(たとえばiモードブラウザ)に用意された契約者固有IDを利用した簡易的な認証であり、ユーザがIDやパスワードを入力しなくても認証が可能となる。iモードIDは、NTTドコモの提供する契約者固有IDの一種で、URLにguid=ONというクエリストリングを含めることにより、端末固有の7桁のIDがWebサーバに送
MicrosoftとMozillaが、両社のウェブブラウザに存在するセキュリティホールが侵入者によって悪用され、ファイルを盗まれるおそれがあることを認めた。だが、こうした悪用は条件的に難しく、リスクはそれほど大きくないとも話している。 セキュリティ専門家は今週に入って、「Internet Explorer(IE)」および「Firefox」、そしてMozillaのその他のブラウザでJavaScriptを処理する方法に脆弱性があると警告していた。攻撃者がこうした問題を悪用して、ファイルを不正にアップロードする可能性があり、マシンユーザーの個人情報が危険にさらされるというのである。 しかし、ユーザー側が多くの操作を行わなければ同脆弱性の悪用は難しいことから、MicrosoftおよびMozillaは差し迫った危険はなく、修正パッチをすぐにリリースする必要もないと考えている。関係者によれば、両社はブ
Googleは米国時間3月2日、ウェブベースの電子メールサービスである「Gmail」のバグを修正したことを発表した。このバグは、あるブロガーによって発見されたものだった。 Anthonyと名乗るブロガーによると、この脆弱性は、JavaScriptを含んだGmailのメッセージをプレビューしただけでそのコードが実行されてしまうというもので、悪意を持つ人はこれを利用してユーザーのGmailアカウントを攻撃することが可能だったという。 Anthonyは、自分のYahooメールアカウントからGmailアカウントにコードを送信したときに同脆弱性を発見したと、米国時間3月1日付けの投稿に記している。14歳の学生だというこのブロガーは、Googleのブログサービス「Blogger」を利用して問題を明らかにした。 Googleの広報担当によると、同社はこの脆弱性を「ブログで最初に報告されてからすぐに」修正
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く