ITmedia NEWS >

「はてなツールバー」に脆弱性、最新バージョンで修正

» 2006年02月01日 20時21分 公開
[ITmedia]

 情報処理推進機構セキュリティセンター(IPA/ISEC)とJPCERTコーディネーションセンター(JPCERT/CC)は2月1日、はてなが提供する「はてなツールバー」に脆弱性が存在することをJVN(JP Vendor Status Notes)を通じて明らかにした。

 はてなツールバーは、Internet Explorer向けのプラグインソフト。インストールするとワンクリックで自分のダイアリーやアンテナ、ブックマークなどに移動できる。

 はてなツールバーは、ユーザーが閲覧しているWebページのURL情報を、パラメータも含めて「はてなサーバ」に送信する機能を備えている。しかしこのとき、通信は暗号化されない。したがって、セッション管理情報などの機密情報をURLに含むWebページにアクセスした際、そうした情報が悪意あるユーザーに盗聴される可能性がある。攻撃者がこうやって得たセッション管理情報を悪用し、セッションハイジャックを行う恐れもある。

 脆弱性が存在するのはバージョン1.5.4以前。はてなでは、問題を修正した最新バージョンの1.5.5にアップデートするよう推奨している。

Copyright © ITmedia, Inc. All Rights Reserved.