ニュース
米Yahoo!の転職サイトにXSSの脆弱性、不正コードでcookie盗む
Netcraftによれば、米Yahoo! HotJobsサイトに仕掛けられた不正JavaScriptでユーザー認証用のcookieが盗まれていた。
米Yahoo!が運営する転職情報サービス「HotJobs」のWebサイトにクロスサイトスクリプティング(XSS)の脆弱性があり、ユーザー認証用のcookieが盗まれているのを見つけたと、英インターネットサービス企業のNetcraftが伝えた。
Netcraftによると、Yahoo! HotJobsのサイトには、難読化されたJavaScriptが挿入され、yahoo.comに送られる認証cookieを盗んで攻撃側が運営する別のWebサイトに転送する仕掛けになっていた。盗んだ情報を使えば、攻撃者が被害者のYahoo! Mailなどのアカウントにアクセスできる。
ユーザーは、yahoo.com上にある不正URLを閲覧しただけで被害に遭う恐れがあるが、画面上では空白のWebページが表示されるだけなので、自分のアカウントが乗っ取られたことには気付きにくいという。
Netcraftはこの問題をYahoo!に知らせ、Yahoo!は10月27日までに、HotJobsサイトの脆弱性を修正したと伝えてきたという。
関連記事
- Yahoo!メールに誤ったヘッダ情報が付加 ヤフーが経緯説明
ヤフーは、Yahoo!メールの一部で誤ったヘッダ情報を付加して配信していたことを明らかにした。 - Yahoo! Jukeboxにゼロデイ攻撃発生――ActiveX無効化で対策を
「Yahoo! Music Jukebox」の脆弱性を突いたゼロデイ攻撃が発生。マルウェアに利用されるのは時間の問題だという。 - Yahoo! Widgetsに脆弱性、米Yahoo!がアップデート公開
デスクトップツールのYahoo! Widgets 4.xに深刻な脆弱性が見つかった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.