7 年目のバグの底知れぬ影響力、CAPTCHA の大混乱~ JQuery Validation Plugin デモスクリプトが修正される(The Register) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.23(土)
コンテンツ
注目検索ワード
記事

7 年目のバグの底知れぬ影響力、CAPTCHA の大混乱~ JQuery Validation Plugin デモスクリプトが修正される(The Register)

国際 TheRegister

CAPTCHA で利用される jQuery Validation Plugin のデモスクリプトの欠陥(7 年前から存在していた)のおかげで、一晩かけて修復された反射型クロスサイトスクリプティング(reflected XSS)の問題は、数百万ものウェブサイトに影響を及ぼすかもしれない、とオランダのペンテスター Sijmen Ruwhof が語っている。

この CAPTCHA の「深刻な」脆弱性は、2007 年から存在していたものと見られており、それは危険に晒されたサイト(そのデモスクリプトを利用しているサイト)への反射型クロスサイトスクリプティング(reflected XSS)攻撃を通したハイジャックに繋がるものだ。

Ruwhof は 8 月にクライアントペネトレーションテストを行っていた際、偶然、この jQuery Validation Plugin の欠陥に気がついた。それから彼は「jQuery のメンテナンスに関連づけられた複数のメールアドレス」に宛てて、それを何度も通知したものの、耳を傾けられず、パッチは適用されなかったと主張している。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Apache Struts 2 において REST プラグインでの XML データ処理の不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report) 画像

Apache Struts 2 において REST プラグインでの XML データ処理の不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
「i-フィルター 6.0」のインストーラなどに任意コード実行の脆弱性(JVN) 画像

「i-フィルター 6.0」のインストーラなどに任意コード実行の脆弱性(JVN)
幅広い環境が影響を受けるBluetoothの脆弱性「BlueBorne」に注意喚起(JPCERT/CC) 画像

幅広い環境が影響を受けるBluetoothの脆弱性「BlueBorne」に注意喚起(JPCERT/CC)

インシデント・事故 記事一覧へ

「ネタバレ」サイトの運営者を逮捕、アフィリエイトで3年間で3億円の収入(ACCS) 画像

「ネタバレ」サイトの運営者を逮捕、アフィリエイトで3年間で3億円の収入(ACCS)
指定暴力団幹部がオークションで海賊版ソフトを販売したとして逮捕(ACCS) 画像

指定暴力団幹部がオークションで海賊版ソフトを販売したとして逮捕(ACCS)
外部からのアクセスでバスツアーサイトツアーの個人情報1万1975人分が流出(H.I.S.) 画像

外部からのアクセスでバスツアーサイトツアーの個人情報1万1975人分が流出(H.I.S.)

調査・レポート・白書 記事一覧へ

ウイルスに感染したIoT機器からの攻撃、メキシコでの大規模乗っ取りで急増(横浜国立大学、BBソフトサービス) 画像

ウイルスに感染したIoT機器からの攻撃、メキシコでの大規模乗っ取りで急増(横浜国立大学、BBソフトサービス)
「WannaCry」のワーム活動が拡散する土壌は十分にあった--上半期レポート(トレンドマイクロ) 画像

「WannaCry」のワーム活動が拡散する土壌は十分にあった--上半期レポート(トレンドマイクロ)
レポート「サイバー犯罪の現状(英文)」を公開、11のトピックを詳細解説(SecureWorks Japan) 画像

レポート「サイバー犯罪の現状(英文)」を公開、11のトピックを詳細解説(SecureWorks Japan)

研修・セミナー・カンファレンス 記事一覧へ

最も大事なものはすでに盗まれている(Niサイバーセキュリティ)[Security Days 2017 インタビュー] 画像

最も大事なものはすでに盗まれている(Niサイバーセキュリティ)[Security Days 2017 インタビュー]
8割がセキュリティ用途で導入、VMware NSXとは(ヴイエムウェア)[Security Days 2017 インタビュー] 画像

8割がセキュリティ用途で導入、VMware NSXとは(ヴイエムウェア)[Security Days 2017 インタビュー]
「入口対策」再評価、パスワード付ZIPにも対応したメール無害化ソリューション(クオリティア)[Security Days 2017インタビュー] 画像

「入口対策」再評価、パスワード付ZIPにも対応したメール無害化ソリューション(クオリティア)[Security Days 2017インタビュー]

国際 カテゴリの人気記事 MONTHLY ランキング

  1. Cisco のセキュリティビジネスに市場が多大な関心を寄せる理由(The Register)

    Cisco のセキュリティビジネスに市場が多大な関心を寄せる理由(The Register)

  2. フィッシング詐欺支援サービスの価格表(The Register)

    フィッシング詐欺支援サービスの価格表(The Register)

  3. 豪大臣、サイバー戦争の国際法整備を ASEAN 諸国に求める(The Register)

    豪大臣、サイバー戦争の国際法整備を ASEAN 諸国に求める(The Register)

  4. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  5. 総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

  6. Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

  7. 「ゴリラズ・アプリ」の暗号解読で求人の一次審査を免除(英ジャガー・ランドローバー)

  8. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  9. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  10. 来月ビットコインが消え去るかもしれないが、パニックに陥るべきではない(The Register)

全カテゴリランキング

特集

The Register

国際ニュース

脆弱性

Scan PREMIUM 会員限定

Scan バックナンバー・サルベージ・プロジェクト

Page Top
★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。
×