ColdFusion攻撃を引き起こす原因となっていたリッチテキストエディタ「FCKeditor」のアップデート版が公開された。
Adobe SystemsのColdFusionを使ったWebサイトへの攻撃が多発している問題で、攻撃を引き起こす原因となっていたオープンソースのリッチテキストエディタ「FCKeditor」のアップデート版が公開された。
US-CERTによると、アップデート版のFCKeditor 2.6.4.1では、それまでのバージョンに存在していた入力値検証問題が解決された。この脆弱性を悪用された場合、任意のコードを実行される恐れがあるという。
FCKeditorは、AdobeのColdFusion 8に組み込まれ、デフォルトでは有効になっている。SANS Internet Storm Centerなどによれば、この問題を突いて多数のWebサイトに不正コードが仕掛けられ、マルウェア感染サイトへユーザーをリダイレクトしていた。
Adobeもブログでこの問題に対して注意を喚起。ColdFusionのアップデートは現在開発中で、7月6日の週にリリースする見通しだとしている。
Copyright © ITmedia, Inc. All Rights Reserved.