2ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

【セキュリティ】YouTubeにXSS攻撃、不正ポップアップなどの被害広がる(10/07/06)

1 : ◆amidaMovTg @あみだくじψ ★:2010/07/06(火) 21:41:26 ID:??? ?2BP(100)
 動画共有サイトの米YouTubeを狙った攻撃が発生し、ショッキングなデマが流れたり、コメントが表示されなくなるなど
の影響が広がった。7月4日から5日にかけて、米セキュリティ機関のSANS Internet Storm Centerや英Sophosなどが
伝えた。

 それによると、この攻撃ではYouTubeのコメントシステムに存在するクロスサイトスクリプティング(XSS)の脆弱性が
悪用された。この影響でコメントが表示されなくなったり、画面に「ニュース速報:(歌手の)ジャスティン・ビーバーが
交通事故で死亡」というデマがポップアップ表示されるなどの被害が広がった。ほかにも不正なポップアップが出たり、
悪趣味なWebサイトにリダイレクトされたりするケースが相次いだという。

 Googleは攻撃発生から2時間ほどでこの問題に対処したと伝えられている。

 SANSによれば、YouTubeが使っているコメントアプリケーションの出力データの暗号化処理に問題が存在した。
これを突いて攻撃者がcookieを盗み、JavaScriptコードを仕込んでユーザーのWebブラウザで実行させることが
できてしまったとみられる。

 こうした攻撃では、攻撃者が細工を施したJavaScriptをWebブラウザで実行させ、cookieを盗むだけでなく、偽の
ログインページを表示させるなどあらゆることができてしまうとSANSは指摘。XSSの脆弱性は極めて危険だと
警鐘を鳴らしている。

http://www.itmedia.co.jp/news/articles/1007/06/news018.html

2 :名無しさん@お腹いっぱい。:2010/07/06(火) 21:57:44 ID:???
さすがGoogleはセキュリティに強いすなぁ(棒)

3 :名無しさん@お腹いっぱい。:2010/07/06(火) 22:53:09 ID:???
マイクロソフトかよw

2 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.02.02 2014/06/23 Mango Mangüé ★
FOX ★ DSO(Dynamic Shared Object)