セキュリティ企業のWebサイトにXSSの脆弱性、XSSedが調査結果を公表：「餅は餅屋」のはずが

大手セキュリティ企業のWebサイトはユーザーに信頼されているだけに、マルウェア配布に利用される可能性も高いという。

[ITmedia]

　大手セキュリティ企業のWebサイトにもクロスサイトスクリプティング（XSS）の脆弱性が存在するとして、XSS攻撃情報提供サイトの米XSSed.comが調査結果を公表した。セキュリティ企業のWebサイトはユーザーに信頼されているだけに、「マルウェアやクライムウェア配布に利用される可能性も高い」と警鐘を鳴らしている。

　XSSedプロジェクトではVerisignとMcAfee、Symantecのセキュリティ大手3社のサイトでXSSの脆弱性の実態を調べ、結果をサイトで報告した。

　それによると、Verisign.comには5件のXSS問題が見つかり、6月11日までにすべて修正された。しかし、多数の大手企業のWebサイトに安全性を保証する「Verisign Secured」の認定マークを交付しながら、自らのWebサイトがセキュアでなかったことについてXSSedは疑問を投げ掛けている。

　McAfee.comには8件のXSS問題が見つかり、このうち7件が修正された。「McAfeeは“Hacker Safe”サービスの顧客にどう説明するのか」とXSSed。

　 Symantec.comについては17件のXSS問題が列挙され、このうち10件が修正されたという。「攻撃者はSymantecのXSSの脆弱性を利用してマルウェアを配布し、個人情報を盗むことが可能」だとXSSedでは指摘している。

過去のセキュリティニュース一覧はこちら