クリップボード改竄の攻撃、実害発生か
2008年8月20日(水曜日)
クリップボード改竄の攻撃、実害発生か
「正規サイトに不正Flash広告掲載か:URLをコピペしたら悪質サイトに――乗っ取り被害が続出 (www.itmedia.co.jp)」。
攻撃者はトラフィックを稼ぐ狙いでユーザーのクリップボードを上書きし、自分たちのサイトのURLをペーストさせているとSophosは分析。Javascriptなどのスクリプト言語を使って、自動的にデータをシステムのクリップボードにコピーする技術はよく知られているという。
クリップボード周りがゆるいという話は、確かに古くから知られていますね。「Internet Explorerの「スクリプトによる貼り付け処理」機能の能力を検証する (java-house.jp)」は2001年の話、「FirefoxでWindowsのクリップボードに値を設定する方法 (d.hatena.ne.jp)」は2006年の話です。※後者は data: スキームを使う話ですが、もちろん外部の SWF ファイルでも OK。
IE7 では「スクリプトによる貼り付け処理」のデフォルト値が「ダイアログ表示」になるという改善が行われましたが、Flash は……。Adobe もそろそろ何か考えてほしいところですね。
※実際に被害が出ないと対策が進まないというのも、どうかとは思いますが。
- 「クリップボード改竄の攻撃、実害発生か」にコメントを書く
- 前(古い): PHPマニュアルのサンプルコードの脆弱性
- 次(新しい): そういえばエンジニア募集中らしい
