はてなダイアリーにXSS脆弱性を突いて広がるワームが発生、現在修正済 9
ストーリー by yoosee
どこぞで見たような話だなぁ… 部門より
どこぞで見たような話だなぁ… 部門より
Anonymous Coward曰く、"はてなダイアリーのキーワード「ぼくはまちちゃん!とは」によると、2月4日、はてなにログイン中のユーザ達が XSS脆弱性を利用した攻撃ページ d.hatena.ne.jp/Hamachiya2/
にアクセスした際に、JavaScriptによる自動処理で自分の日記に「ぼくはまちちゃん! こんにちはこんにちは!!」という内容のエントリを書き込まされてしまうという被害が出た模様だ。書き込まされたエントリには罠ページへのリンクも埋め込まれていたため、ワーム的に広がったようだ。被害者たちの様子は罠ページのトラックバック欄で見ることができる。また、罠ページのはてなブックマークにも「こんにちはこんにちは!!」と書き込まされていたようだ。
原因は、はてなダイアリーにXSS脆弱性が残っていたことで、tableタグのbackground属性にjavascript:のURIを指定すると(Internet Explorerでは)JavaScriptが動いてしまうという欠陥があったようだ。
はてなダイアリー日記の2月4日のエントリ「background 属性の XSS 脆弱性について」で修正したと報告されている。"
脆弱性 (スコア:1, 興味深い)
なんか見たことあると思ったけど (スコア:1)
Re:なんか見たことあると思ったけど (スコア:1)
まぐろたべたい
早速 (スコア:1, 参考になる)
#凄く嫌な予感がするのでACで。
Re:早速 (スコア:0)
ブラウザ依存であることは強調すべき (スコア:0)
Re:ブラウザ依存であることは強調すべき (スコア:0)
Re:ブラウザ依存であることは強調すべき (スコア:0)
業務妨害 (スコア:0)