FileMakerにXSSの脆弱性 対策はバージョン9への更新

[ITmedia]

　ファイルメーカーのデータベースソフトウェア「FileMaker」にクロスサイトスクリプティング（XSS）の脆弱性が見つかったとして、IPA（情報処理推進機構）セキュリティセンターおよびJPCERTコーディネーションセンター（JPCERT/CC）は11月21日、JVN（Japan Vulnerability Notes）に情報を公開した。問題の影響を受けるのは、FileMaker Pro/Server 7および8などで、修正パッチは提供されていない。

　FileMakerには、データベースの内容をWebサイトとして公開できる機能（「インスタントWeb公開」）があるが、Webページを出力する際の処理が不適切なため、任意のスクリプトが埋め込まれる脆弱性があるという。ユーザーが細工を施したサイトからFileMakerのWeb公開機能で公開されたページへ誘導されると、ページをブラウザ上に表示する際に、URLに含まれたスクリプトが意図しない形で実行される恐れがある。

　このXSSの脆弱性が確認されているのは以下の製品。最新のFileMaker 9シリーズはこの問題の影響を受けない。

• FileMaker Pro 7（Windows/Mac対応版)
• FileMaker Developer 7（Windows/Mac対応版)
• FileMaker Server 7 Advanced（Windows/Mac対応版）
• FileMaker Pro 8.x（Windows/Mac対応版）
• FileMaker Pro 8.x Advanced（Windows/Mac対応版）
• FileMaker Server 8.x（Windows/Mac対応版）
• FileMaker Server 8.x Advanced（Windows/Mac対応版）

　現在、ファイルメーカーからはFileMaker 7.x/8.x向けのセキュリティ修正パッチが提供されていないため、IPAではFileMaker 9シリーズにアップグレードすることを推奨している。9シリーズにアップグレードしない場合の回避策は、Web公開機能を利用しないこと。