ユーザーが不正なWebページを訪れるとログイン情報が盗まれ、自分のアバターを乗っ取られてしまう恐れもある。
3D仮想空間「Second Life」に、ユーザーのパスワードなどを盗むことができてしまう脆弱性が見つかった。セキュリティ各社のリスク評価はそれほど高くないが、ログイン情報が盗まれれば、Second Lifeのアバターを乗っ取られてしまう恐れもある。
仏FrSIRTのアドバイザリーによると、この脆弱性は、アプリケーションをインストールする過程で登録される「secondlife://」URIハンドラの設計ミスに起因する。攻撃者が不正なiframeを仕掛けたWebページをユーザーに閲覧させることにより、ユーザーネームとパスワードを盗み出すことが可能になる。
問題を発見したハッカー組織「GNUCITIZEN」は、不正なWebページを使ってログイン情報を盗み出す手順をサイト上で公開。問題の悪用にはInternet Explorer(IE)6と7が利用できるとしている。
FrSIRTのリスク評価は4段階で下から2番目に低い「Moderate Risk」。しかしGNUCITIZENでは、Second Lifeの通貨「リンデンドル」が現金に換金できることから、被害者が多額のリンデンドルを持っている場合、極めて深刻な状況に陥ると指摘している。
Copyright © ITmedia, Inc. All Rights Reserved.