Twitterに深刻な脆弱性? つぶやきを見ただけでアカウント乗っ取りの恐れ
Twitterに深刻な脆弱性? つぶやきを見ただけでアカウント乗っ取りの恐れ
Twitterのサードパーティーアプリケーションにまつわる深刻な脆弱性情報が英国のブログに掲載された。
Twitterには深刻な脆弱性があり、ユーザーが特定のつぶやきを見ただけでアカウントを乗っ取られてしまう恐れがある――。英国のSEO情報ブログにそんな情報が掲載された。
この情報は、SEOサービスの専門家デビッド・ネイラー氏のブログに8月25〜26日に掲載された。それによると、脆弱性はサードパーティーのアプリケーションに起因する。Twitterのつぶやきは、例えばTweetDeck、TwitterFox、HootSuiteといった専用アプリケーションから投稿することもでき、この場合は使われたアプリケーション名がつぶやきの下に表示される。
しかしこの部分は、外部のアプリケーション開発者がTwitterのフォームに入力した内容がそのまま反映され、例えばHTMLコードや JavaScriptのscriptタグでさえも表示させることができてしまうという。これを悪用すれば、ユーザーを別のページに誘導したり、ユーザーのアカウント情報を変更させたり、フォロワーを削除するといったことができてしまうとブログ筆者は解説する。
Twitterは、Webアプリケーション開発において、外部から提供されたデータを盲目的に信頼するという基本的な過ちを犯したと筆者は断言。 Twitterでは指摘を受けて問題を解決したとしているが、同社の取った措置では解決になっていないとブログ筆者は反論している。
[ウィルス情報]「無料のSnow Leopard」に要注意、不正サイトでマルウェアに感染
「無料のSnow Leopard」に要注意、不正サイトでマルウェアに感染
「Snow Leopardが無料で手に入る」などとうたったWebサイトにアクセスすると、トロイの木馬に感染する恐れがある。
次期Mac OS X「Snow Leopard」の8月28日発売に向けて、ユーザーの関心の高まりに付け入る攻撃が浮上している。セキュリティ企業Trend Microが8月26日付のブログで伝えた。
Trend Microによると、「Snow Leopardが無料で手に入る」などとうたったWebサイトが同日までに複数見つかった。これらサイトにはMac OS XのDNS設定を切り替えてしまうトロイの木馬「OSX_JAHLAV.K」が仕掛けられており、ユーザーがサイトにアクセスすると感染する恐れがあるという。
OSX_JAHLAV.Kは、感染したシステムのDNS設定を切り替えてDNSサーバに2つのIPアドレスを追加。ユーザーをフィッシング詐欺などの不正サイトに誘導してしまう。さらに別のマルウェアも呼び込んでくる仕掛けになっている。
不正サイトにはユーザーをだまして有料プログラムを購入させる偽ウイルス対策ソフトが仕込まれているとの情報もあるとTrend Microは警告。Snow LeopardはAppleの正規サイトから直接入手するよう強く促している。
