日記作成支援ソフトのtDiaryにXSSの脆弱性、悪用は限定的

日記作成支援ソフトのtDiaryにクロスサイトスクリプティングの脆弱性が見つかり、IPAやJPCERT/CCが対策を呼び掛けている。

» 2010年02月25日 17時34分 公開
[ITmedia]

 情報処理推進機構とJPCERTコーディネーションセンターは2月25日、日記作成支援ソフト「tDiary」に付属するプラグインのtb-send.rbにクロスサイトスクリプティングの脆弱性が見つかったとして、対策情報を公開した。

 この脆弱性は、第三者が特殊なURLや外部のWebページを生成することで、日記更新者のWebブラウザ上で任意のスクリプトを実行されることにつながる。開発元のtDiary開発プロジェクトによれば、閲覧者に直接の危険性はないが、第三者が悪意ある日記が公開するなどの影響が想定されるという。

 脆弱性が存在するのはtDiary 2.2.2(フルセットおよびプラグイン集)以前のバージョン。悪用には、対象バージョンにおいてtb-send.rbプラグインが有効な環境でMicrosoft Internet Explorer 7を使用しており、特殊なURLなどを経由して日記を更新した場合だという(開発元での確認条件)。

 tDiary開発プロジェクトは、脆弱性を修正したtDiary 2.2.3の利用もしくは、tb-send.rbの無効化か最新版へのアップデートを呼び掛けている。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ