29日、IPAは、R-ONEコンピューター製のブログ作成ツール「Blogn(ぶろぐん)」に
- クロスサイトリクエストフォージェリ
- クロスサイトスクリプティング
の脆弱性が存在すると、発表した。対象となるソフトウェアは「Blogn(ぶろぐん)v1.9.7およびそれ以前」 である。対策は、メーカーの提供する最新版へのアップデートを行うこととしている。
クロスサイトリクエストフォージェリの脆弱性では、Webサイトにスクリプトや自動転送(HTTPリダイレクト)を仕込むことにより、別のWebサイトで掲示板やアンケートなどに書き込みをさせられたり、オンラインショップで買い物をさせられたりしまう被害が想定される。これは、Webブラウザでアクセスしただけで実行されてしまう。今回の脆弱性では、Blogn(ぶろぐん)にログインした状態で、悪意あるページを読み込んだ場合、意図せず Blogn(ぶろぐん) のコンテンツが編集される可能性がある。
クロスサイトスクリプティングの脆弱性とは、Web閲覧者に、悪意のあるコードを直接埋め込んで実行させる、Web閲覧者が気がつかないうちに、他のWebサイトのスクリプトを呼び出して実行させるなどを行うものである。スクリプトの内容によってはCookieの盗聴や改竄などが可能なため、なりすましなどの被害が想定される。Blogn(ぶろぐん)では、ユーザーのWebブラウザ上で任意のスクリプトが実行される可能性があるとのことである。
いずれの脆弱性も「注意」レベルであり、これらの脆弱性を利用した攻撃には、相当の条件が必要となる。しかし、使用するユーザーが、直ちに修正を行うべきであろう。
