SSL VPNにセキュリティ機能を迂回される脆弱性

SSL VPN製品にWebブラウザのセキュリティ機能を迂回される脆弱性が見つかり、IPAとJPCERT/CCが対策を呼び掛けた。

» 2009年12月01日 19時19分 公開
[ITmedia]

 情報処理推進機構とJPCERTコーディネーションセンター(JPCERT/CC)は12月1日、SSL VPN製品にWebブラウザのセキュリティ機能を迂回される脆弱性が見つかったとして、情報を公開した。

 脆弱性は、Webブラウザとサーバ間での行うコンテンツの書き換えの際に、細工されたページを閲覧することで、Webブラウザのセキュリティ機能であるSame Origin Policyを迂回されてしまうもの。

 悪用された場合に、リモートの第三者がセッションをハイジャックし、アクセス先のコンテンツを閲覧されたり、改ざんされたりする恐れがある。

 IPAとJPCERT/CCは対策として、URLの書き換えやVPNサーバの接続先を信頼できるドメインに限定する、URLの隠ぺい機能を無効するなどの方法を紹介している。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

関連キーワード

VPN | SSL | 脆弱性 | IPA(情報処理推進機構)


関連ホワイトペーパー

VPN | SSL | 脆弱性


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ