Oligur

• ニュース

約1ヶ月で2度目となる、人気のオープンソースセキュリティソフトウェアに重大な脆弱性が発見されました。OAuthとOpenIDのログインツールに存在するこの脆弱性は、Google、Facebook、Microsoft、LinkedIn、Yahoo、GitHubなど、多くのウェブサイトに影響を与えています。

この脆弱性は、シンガポールの南洋理工大学の博士課程学生である王静氏によって発見されました。静氏によると、深刻な「Covert Redirect」脆弱性は、影響を受けるサイトのドメインに基づいてログインポップアップを表示する可能性があるとのことです。攻撃者に悪用された場合、影響を受けるサイトでは、ユーザーがログイン情報や個人情報（メールアドレス、生年月日、連絡先リストなど）を制御できなくなる可能性があります。

さらに、この欠陥によりオープン リダイレクト攻撃が発生する可能性があり、攻撃者が選択した Web サイトにユーザーがリダイレクトされ、さらなる被害が発生する可能性があります。

「この脆弱性へのパッチ適用は言うほど簡単ではありません」と王静氏は語る。彼は影響を受ける大手企業に連絡を取り、この欠陥を報告したが、彼らもこのバグを短期間で修正するのは困難だと認めている。

ホワイトハット・セキュリティの創設者兼暫定CEOのジェレミア・グロスマン氏をはじめとするセキュリティ専門家は、王氏の調査結果に同意している。

しかし、SilverSky 社の SilverSky Labs 副社長である Brandon Edwards 氏は、これは Heartbleed ほど重大なセキュリティ上の危険ではないと強調しています。

「音楽の好み、友達リスト、その他のソーシャルコンテンツの漏洩はデリケートな問題であり、場合によっては深刻な事態を招く可能性があります」と彼は述べています。「しかし、一般的に言えば、重要な情報が漏洩するリスクははるかに低く、脆弱なサイトがいずれにしても第三者に漏洩する情報に限定されます。これは、サイトが処理する最も重要な情報を漏洩する可能性のあるHeartbleedよりもはるかに影響が小さいです。」

さらに、この脆弱性はHeartbleedほど広範囲に及ぶものではありません。これらの技術を使用しているサイトのほとんどはソーシャルネットワーキングであるため、銀行にとって脅威となることはなく、ルーターやVPNゲートウェイなどのネットワーク機器に組み込まれることもありません。最後に、この脆弱性は依然としてユーザーインタラクションに依存しています。つまり、ユーザーが自分のアカウントでアクセスを許可するには、フィッシング、誘導、または説得が必要です。

このニュースが報道され次第、さらにニュースがお伝えします。

出典：テトラフ

出典: CNet