MySpaceのコンテンツフィルタに問題あり

[ITmedia]

　人気ソーシャルネットワーキングサイト（SNS）のMySpaceでユーザーが投稿したコンテンツが適切にフィルタされず、クロスサイトスクリプティングを引き起こす可能性があるとして、US-CERTがアラートを公開した。

　アラートによると、MySpaceではユーザーが投稿したコンテンツでJavaScript／VBScriptの「SCRIPT」タグとActiveXの「OBJECT」タグは使えないようにしているが、「EMBED」タグを使ったコンテンツは投稿できてしまう。

　EMBEDタグはNetscape型ブラウザのプラグイン向けコンテンツ提供に使われるほか、Internet Explorer（IE）でもEMBEDタグをサポートし、MIMEをチェックしてコンテンツの種類に応じたActiveXコントロールに引き渡す仕組みになっている。

　Apple QuickTimeやAdobe Flashなどのプラグインはスクリプトをサポートしているため、MySpaceはユーザーが投稿したスクリプトをサイト内で実行することを間接的に容認する形になり、クロスサイトスクリプトの脆弱性を引き起こす可能性があるという。

　これにより、MySpaceのコンテンツが書き換えられたりパスワードなど個人情報の流出を招く恐れがあるほか、攻撃者がWebブラウザの脆弱性を悪用することが可能になる。

　この問題の実質的な解決策はないが、ブラウザのスクリプトを無効にするなどの方法を取れば回避の一助になるとUS-CERTのアラートでは解説している。