クロスサイト リクエスト フォージェリ の危険性

クロスサイト リクエスト フォージェリ
(Cross site request forgeries、略記:CSRF、またはXSRF)は、
掲示板に意図しない書き込みがされ、また
オンラインショップで意図しない買い物をさせられるなどの、
乗っ取り被害が起こるリスクがあります。

4/15のIPA公表資料によると、

製品の開発者からの届出に基づく協議の結果、
危険性を認知してもらうため、本日公表されたということです。

該当する製品は、次の通り複数に渡ります。
•サイボウズ Office 9.2.3 およびそれ以前
•サイボウズ Office 8.1.5 およびそれ以前
•サイボウズ メールワイズ 5.0.3 およびそれ以前
•サイボウズ メールワイズ 4.0.5 およびそれ以前
•サイボウズ デヂエ 8.0.6 およびそれ以前

JPcert20130415
サイボウズ株式会社が提供しているこれらの複数の製品には、
クロスサイトリクエストフォージェリの脆弱性が判明しているので、
速やかに、最新版に更新するようにとのアナウンスです。

この弱点を悪用される場合、
当該製品にログインした状態、つまり、
それぞれのツールを使用しているときに、
何らかの悪意をもって細工された URL にアクセスすると、
ツールの管理画面にアクセスするためのパスワードや、
ユーザ認証のためのパスワードを盗み出されて、変更される可能性があります。

つまり、ハッキングされてしまいますよ、という警告です。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です