ChromeとSafariのXSS攻撃防止ツールに脆弱性報告

GoogleのWebブラウザ「Chrome」では問題が修正されたものの、Appleの「Safari」ではまだ未解決のままだという。

[鈴木聖子，ITmedia]

　主要Webブラウザが実装しているクロスサイトスクリプティング（XSS）攻撃の防止策をかわせてしまう方法が見つかったとして、スペインのTelefonica傘下のセキュリティ企業ElevenPathsが1月20日のブログで報告した。GoogleのWebブラウザ「Chrome」では問題が修正されたものの、Appleの「Safari」ではまだ未解決のままだと伝えている。

　ElevenPathsによると、Google Chromeでは「XSSAuditor」というフィルタを使ってXSS攻撃を防止しているが、同社の研究者が発見した手口を使えば、不正なIFRAMEを仕込んだWebサイトを使ってこのフィルタをかわし、XSS攻撃を仕掛けることができてしまうという。

　同社のブログではこの問題を再現するコンセプト実証コードも併せて公開している。

　GoogleのChromiumプロジェクトは2013年10月23日にElevenPathsから報告を受け、2日後に対処。1月14日にリリースされたChrome安定版の最新バージョン「32.0.1700.76」に修正が盛り込まれた。

　一方、MacとiPhone向けのSafariについては、問題の修正に当たっているとの返答があったという。しかし1月20日の時点でまだ修正は行われず、脆弱性が存在したままになっているとElevenPathsは伝えている。