マイクロソフトの検索プラットフォーム「FAST ESP」にクロスサイトスクリプティングの脆弱性

　有限責任中間法人JPCERTコーディネーションセンター（JPCERT/CC）は2月10日、マイクロソフトが提供する検索プラットフォーム「FAST ESP」に、クロスサイトスクリプティングの脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で公表した。

　FAST ESPは、情報を一元管理し、検索可能にするためのソフトウェア。バージョン5.1.5およびそれ以前に、クロスサイトスクリプティングを実行される脆弱性が確認された。この問題が悪用されると、遠隔地の第三者によって、ユーザーのウェブブラウザ上で任意のスクリプトを実行される可能性がある。

　ファストでは、この脆弱性を解消するアップデートを提供している。カスタマーサポートへ連絡の上、最新バージョンを入手してアップデートするよう呼びかけている。

　なお、JVNではこの脆弱性の危険度について、以下のように分析している。

• 攻撃経路：インターネット経由からの攻撃が可能（高）
• 認証レベル：匿名もしくは認証なしで攻撃が可能（高）
• 攻撃成立に必要なユーザーの関与：リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される（中）
• 攻撃の難易度：ある程度の専門的知識や運が必要（中−高）