| エンタープライズ:ニュース | 2003/03/06 20:40:00 更新 |
ソニーのICカードリーダ/ライタ「PaSoRi」のドライバソフトにセキュリティ脆弱性
ソニーは3月3日、非接触ICカードリーダ/ライタ「PaSoRi」のドライバソフトに含まれているローカルHTTPサーバプログラム、「FeliCa Offline Viewer」にクロスサイトスクリプティングの脆弱性が存在することを明らかにし、問題を修正したソフトを公開している。
ソニーは3月3日、非接触ICカードリーダ/ライタ「PaSoRi」のドライバソフトに含まれているローカルHTTPサーバプログラム、「FeliCa Offline Viewer」に、セキュリティ上の脆弱性が存在することを公開した。同日よりWebサイト上で、修正プログラムが提供されている。
この問題は、セキュリティ研究者の高木浩光氏によって指摘されたもの。FeliCaを用いる「Edy」や「eLIO」といった電子マネーサービスを利用する際に用いるドライバソフトとともにインストールされるFeliCa Offline Viewerに、クロスサイトスクリプティング脆弱性が存在するという。
この脆弱性を修正しないままだと、例えば悪意あるユーザーがメールなどを用いて、「ワナ」となるリンクを仕掛けたサイトに誘導し、それをクリックさせる、いわゆる受動的攻撃によって、ユーザーの個人情報が盗み取られる可能性がある。また、同様に悪意あるスクリプトを仕掛けたHTMLが、Internet Explorerの「イントラネットゾーン」のセキュリティレベルで実行されてしまう可能性もある。
この問題は、FeliCa Offline Viewerが起動している状態でなければ影響はないというが、ソニーでは同社Webサイトより、FeliCa Offline Viewerを含まない新しいドライバソフトをダウンロードし、インストールするよう推奨している。
関連リンク
ソニー(「PaSoRi (パソリ)」ドライバソフトウェアに関する重要なお知らせ)[ITmedia]
