ニュース
» 2008年06月13日 08時55分 UPDATE

「餅は餅屋」のはずが:セキュリティ企業のWebサイトにXSSの脆弱性、XSSedが調査結果を公表

大手セキュリティ企業のWebサイトはユーザーに信頼されているだけに、マルウェア配布に利用される可能性も高いという。

[ITmedia]

 大手セキュリティ企業のWebサイトにもクロスサイトスクリプティング(XSS)の脆弱性が存在するとして、XSS攻撃情報提供サイトの米XSSed.comが調査結果を公表した。セキュリティ企業のWebサイトはユーザーに信頼されているだけに、「マルウェアやクライムウェア配布に利用される可能性も高い」と警鐘を鳴らしている。

 XSSedプロジェクトではVerisignとMcAfee、Symantecのセキュリティ大手3社のサイトでXSSの脆弱性の実態を調べ、結果をサイトで報告した。

 それによると、Verisign.comには5件のXSS問題が見つかり、6月11日までにすべて修正された。しかし、多数の大手企業のWebサイトに安全性を保証する「Verisign Secured」の認定マークを交付しながら、自らのWebサイトがセキュアでなかったことについてXSSedは疑問を投げ掛けている。

 McAfee.comには8件のXSS問題が見つかり、このうち7件が修正された。「McAfeeは“Hacker Safe”サービスの顧客にどう説明するのか」とXSSed。

  Symantec.comについては17件のXSS問題が列挙され、このうち10件が修正されたという。「攻撃者はSymantecのXSSの脆弱性を利用してマルウェアを配布し、個人情報を盗むことが可能」だとXSSedでは指摘している。

過去のセキュリティニュース一覧はこちら

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

マーケット解説

- PR -