複数の市販ルータにクリックジャッキングの脆弱性--JVNが発表

  • このエントリーをはてなブックマークに追加

 独立行政法人情報処理推進機構(IPA)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は10月30日、両団体が運営する「Japan Vulnerability Notes」(JVN)において、「複数のルータ製品におけるクリックジャッキングの脆弱性」(JVN#48135658)の情報を公開した。

 この情報は、情報セキュリティ早期警戒パートナーシップに基づきサイバーディフェンス研究所から情報処理推進機構へと報告され、JPCERTコーディネーションセンターと開発者が調整を行い発表された。

 この問題は、該当する市販のルータを使って管理画面にログイン済みのユーザーが、細工されたページにアクセスし、画面上のコンテンツをクリックした場合、意図しない操作をさせられる可能性があるというもの。


複数のルータ製品におけるクリックジャッキングの脆弱性

 Japan Vulnerability Notesで公開された影響を受けるシステム(製品)によると、「アライドテレシス」「ヤマハ」の製品が「該当製品あり」となっており、「日本電気」「アイ・オー・データ機器」「バッファロー」の製品に「該当製品あり(調査中)」となっている。また、「コレガ」の製品は「該当製品無し」、「センチュリー・システムズ」と「プラネックスコミュニケーションズ」は「脆弱性情報提供済み」だという。

 なお、ヤマハバッファローについては、同件についてサイトで告知しており、それぞれ回避策や対策済みファームウェアなどについて紹介している。

  • このエントリーをはてなブックマークに追加