米Yahoo!の転職サイトにXSSの脆弱性、不正コードでcookie盗む
Netcraftによれば、米Yahoo! HotJobsサイトに仕掛けられた不正JavaScriptでユーザー認証用のcookieが盗まれていた。
米Yahoo!が運営する転職情報サービス「HotJobs」のWebサイトにクロスサイトスクリプティング(XSS)の脆弱性があり、ユーザー認証用のcookieが盗まれているのを見つけたと、英インターネットサービス企業のNetcraftが伝えた。
Netcraftによると、Yahoo! HotJobsのサイトには、難読化されたJavaScriptが挿入され、yahoo.comに送られる認証cookieを盗んで攻撃側が運営する別のWebサイトに転送する仕掛けになっていた。盗んだ情報を使えば、攻撃者が被害者のYahoo! Mailなどのアカウントにアクセスできる。
ユーザーは、yahoo.com上にある不正URLを閲覧しただけで被害に遭う恐れがあるが、画面上では空白のWebページが表示されるだけなので、自分のアカウントが乗っ取られたことには気付きにくいという。
Netcraftはこの問題をYahoo!に知らせ、Yahoo!は10月27日までに、HotJobsサイトの脆弱性を修正したと伝えてきたという。
関連記事
Yahoo!メールに誤ったヘッダ情報が付加 ヤフーが経緯説明
ヤフーは、Yahoo!メールの一部で誤ったヘッダ情報を付加して配信していたことを明らかにした。- Yahoo! Jukeboxにゼロデイ攻撃発生――ActiveX無効化で対策を
「Yahoo! Music Jukebox」の脆弱性を突いたゼロデイ攻撃が発生。マルウェアに利用されるのは時間の問題だという。 
Yahoo! Widgetsに脆弱性、米Yahoo!がアップデート公開
デスクトップツールのYahoo! Widgets 4.xに深刻な脆弱性が見つかった。
関連リンク
Copyright© 2010 ITmedia, Inc. All Rights Reserved.
膨大な情報量の中から「サンプル・コード」
400台以上のグループ内サーバを統合管理!
コスト削減目標の達成率“約120%”を実現
経営危機を回避したガースナー元CEOの手法
「紙とは何か?」――開発責任者は考え抜き
「Tomcat」や「JBoss」などAPサーバ環境の![【CTC事例】約30の基幹システム統合に成功[経営の見える化]につなげる新システムとは](http://image.itmedia.co.jp/images0509/fyi/enterprise_05_1267529673.jpg){kind=small}
【CTC事例】約30の基幹システム統合に成功
「メール見てない」と言われないために――
世界“110カ国”が採用、「日本も」適用へ
一気に解説! 最新のクラスタストレージ
仮想環境の構築とデータ保護の特効薬?!
仮想化すればコストは削減できるか?
運用管理の課題を“2つの観点”から分析
どこまで取り組む? 自社のクラウド化
『クラウド』の国内外キーパーソンが集結
すぐできる“ものづくり”のIT徹底活用!
クラウドがもたらす本当のメリット:日本のクラウド市場の現状とクラウドの価値へのフォーカス
点検 ストレスなきデジタル情報整理術:「残業ゼロ」に向けて社員の能力を引き出す方法――元トリンプ社長の吉越氏
戦略コンサルタントの視点:無料化するクラウド、潜む落とし穴
ITmedia リサーチインタラクティブ 第5回調査:Google Appsへの期待が鮮明に――変わる企業の情報共有基盤
ドジっ娘リーダー奮闘記:年上の男の子