さくっとシンプルに。
セキュリティ企業のWebサイトにXSSの脆弱性、XSSedが調査結果を公表
http://www.itmedia.co.jp/news/articles/0806/13/news024.html
大手セキュリティ企業のWebサイトにもクロスサイトスクリプティング(XSS)の脆弱性が存在するとして、XSS攻撃情報提供サイトの米 XSSed.comが調査結果を公表した。セキュリティ企業のWebサイトはユーザーに信頼されているだけに、「マルウェアやクライムウェア配布に利用される可能性も高い」と警鐘を鳴らしている。
XSSedプロジェクトではVerisignとMcAfee、Symantecのセキュリティ大手3社のサイトでXSSの脆弱性の実態を調べ、結果をサイトで報告した。
それによると、Verisign.comには5件のXSS問題が見つかり、6月11日までにすべて修正された。しかし、多数の大手企業のWebサイトに安全性を保証する「Verisign Secured」の認定マークを交付しながら、自らのWebサイトがセキュアでなかったことについてXSSedは疑問を投げ掛けている。
McAfee.comには8件のXSS問題が見つかり、このうち7件が修正された。「McAfeeは“Hacker Safe”サービスの顧客にどう説明するのか」とXSSed。
Symantec.comについては17件のXSS問題が列挙され、このうち10件が修正されたという。「攻撃者はSymantecのXSSの脆弱性を利用してマルウェアを配布し、個人情報を盗むことが可能」だとXSSedでは指摘している。
大手セキュリティ企業サイトにもXSSの脆弱性、未修復のケースも
http://internet.watch.impress.co.jp/cda/news/2008/06/13/19929.html
Verisign、McAfee、Symantecなど、大手情報セキュリティ企業のサイトにもクロスサイトスクリプティング(XSS)の脆弱性が存在する――。こんな衝撃的なデータを、XSS情報を提供するXSSed.comが8日に公表した。
XSSed.comによれば、Verisignのサイトでは5つの脆弱性が見つかり、この中には2007年2月から修復されていないものもあったという。6月11日までにこれらの脆弱性は修復されたが、XSSed.comでは「多くの企業がサイトの安全性を示す『Verisign Secured』を導入しているが、Verisign自身のサイトが安全ではない」と指摘している。
また、McAfeeのサイトでは8件の脆弱性が見つかり、うち1件は現時点も修復されていないという。XSSed.comはMcAfeeに対して、「(サイトの安全性を証明する)『Hacker Safe』のクライアントに嘘を付いていると思うと残念だ」と非難。さらに、現在も同様の脆弱性を把握しているとして、McAfeeのサイトは「Hacker Unsafe」であると皮肉を込めている。
このほか、Symantecのサイトでは17件の脆弱性が見つかったが、13日時点では7件が修復されていない状態だという。 XSSed.comでは、「多くのフィッシング攻撃者がSymantecのサイトの脆弱性を悪用してマルウェアを配布したり、個人情報を盗んでいる」と指摘している。
今回の調査についてXSSed.comは、「名高いITセキュリティ企業のサイトでも、XSSの脆弱性が見つかっている。これはつまり、ユーザーから信頼されているようなサイトでもフィッシングに悪用されたり、マルウェアが配布される可能性が劇的に増えていることを示している」とコメントしている。
なんつ〜か…しょっぱい話だなぁ。まぁ内部でどーゆーやりとりがされてるかはおおよそ予想出来るんだけどねぇ。
紺屋の白袴とか医者の不養生(医者の若死に)とか髪結い髪結わず(髪結いの乱れ髪)とか蓑売りが古蓑とか紙漉きの手鼻とか駕籠舁き駕籠に乗らずとか坊主の不信心とか儒者の不身持ち(学者の不身持ち)とか易者身の上知らず(陰陽師身の上知らず、八卦置き身の上知らず)とか左官の粗壁とか大工の掘っ立てとか鍛冶屋の竹火箸とか餅屋餅食わずとかまぁ色々いいますがね。
問題なのは、ご当人(っつかご当会社)よりも「周囲に被害がくる」あたりが…まぁ彼らにしてみたら「手前ぇの腹ぁ痛まねぇからほっとけや」になるんだろうなぁ、と。
勘弁してもらいたいものです。やれやれ。