08/06/13 18:56:10
大手セキュリティ企業サイトにもXSSの脆弱性、未修復のケースも
URLリンク(internet.watch.impress.co.jp)
Verisign、McAfee、Symantecなど、大手情報セキュリティ企業のサイトにもクロスサイトスクリプティング(XSS)の脆弱性が存在する―。
こんな衝撃的なデータを、XSS情報を提供するXSSed.comが8日に公表した。
XSSed.comによれば、Verisignのサイトでは5つの脆弱性が見つかり、この中には2007年2月から修復されていないものもあったという。6月11日までにこれらの脆弱性は修復されたが、
XSSed.comでは「多くの企業がサイトの安全性を示す『Verisign Secured』を導入しているが、Verisign自身のサイトが安全ではない」と指摘している。
また、McAfeeのサイトでは8件の脆弱性が見つかり、うち1件は現時点も修復されていないという。XSSed.comはMcAfeeに対して、「(サイトの安全性を証明する)『Hacker Safe』のクライアントに嘘を付いていると思うと残念だ」と非難。
さらに、現在も同様の脆弱性を把握しているとして、McAfeeのサイトは「Hacker Unsafe」であると皮肉を込めている。
このほか、Symantecのサイトでは17件の脆弱性が見つかったが、13日時点では7件が修復されていない状態だという。XSSed.comでは、「多くのフィッシング攻撃者がSymantecのサイトの脆弱性を悪用してマルウェアを配布したり、個人情報を盗んでいる」と指摘している。
今回の調査についてXSSed.comは、「名高いITセキュリティ企業のサイトでも、XSSの脆弱性が見つかっている。
これはつまり、ユーザーから信頼されているようなサイトでもフィッシングに悪用されたり、マルウェアが配布される可能性が劇的に増えていることを示している」とコメントしている。