7 年目のバグの底知れぬ影響力、CAPTCHA の大混乱~ JQuery Validation Plugin デモスクリプトが修正される(The Register) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.10.19(金)

7 年目のバグの底知れぬ影響力、CAPTCHA の大混乱~ JQuery Validation Plugin デモスクリプトが修正される(The Register)

「このセキュリティのバグは、それが生まれて以来、何万ものウェブサイトに広がってきたように見える。あくまでも大雑把な推測ではあるが、このバグの影響を受けるウェブサイトが 20,000 あったとしても、私は驚かない」

国際 TheRegister
CAPTCHA で利用される jQuery Validation Plugin のデモスクリプトの欠陥(7 年前から存在していた)のおかげで、一晩かけて修復された反射型クロスサイトスクリプティング(reflected XSS)の問題は、数百万ものウェブサイトに影響を及ぼすかもしれない、とオランダのペンテスター Sijmen Ruwhof が語っている。

この CAPTCHA の「深刻な」脆弱性は、2007 年から存在していたものと見られており、それは危険に晒されたサイト(そのデモスクリプトを利用しているサイト)への反射型クロスサイトスクリプティング(reflected XSS)攻撃を通したハイジャックに繋がるものだ。

Ruwhof は 8 月にクライアントペネトレーションテストを行っていた際、偶然、この jQuery Validation Plugin の欠陥に気がついた。それから彼は「jQuery のメンテナンスに関連づけられた複数のメールアドレス」に宛てて、それを何度も通知したものの、耳を傾けられず、パッチは適用されなかったと主張している。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

(。・ω・)ゞ !!ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。早割10月末迄。現在通常料金半額以下!!
<b>(。・ω・)ゞ !!ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。早割<font color=10月末迄。現在通常料金半額以下!!">

サイバーセキュリティの専門誌 ScanNetSecurity は 1998年の創刊から20周年を迎え、感謝を込めた特別キャンペーンを実施中。創刊以来史上最大割引率。次は30周年が来るまでこの価格はもうありません

×