SSL VPN製品にWebブラウザのセキュリティ機能を迂回される脆弱性が見つかり、IPAとJPCERT/CCが対策を呼び掛けた。
情報処理推進機構とJPCERTコーディネーションセンター(JPCERT/CC)は12月1日、SSL VPN製品にWebブラウザのセキュリティ機能を迂回される脆弱性が見つかったとして、情報を公開した。
脆弱性は、Webブラウザとサーバ間での行うコンテンツの書き換えの際に、細工されたページを閲覧することで、Webブラウザのセキュリティ機能であるSame Origin Policyを迂回されてしまうもの。
悪用された場合に、リモートの第三者がセッションをハイジャックし、アクセス先のコンテンツを閲覧されたり、改ざんされたりする恐れがある。
IPAとJPCERT/CCは対策として、URLの書き換えやVPNサーバの接続先を信頼できるドメインに限定する、URLの隠ぺい機能を無効するなどの方法を紹介している。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
Copyright © ITmedia, Inc. All Rights Reserved.