マイクロソフトの検索プラットフォーム「FAST ESP」にクロスサイトスクリプティングの脆弱性

吉澤亨史 2009年02月13日 11時11分

  • このエントリーをはてなブックマークに追加

 有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)は2月10日、マイクロソフトが提供する検索プラットフォーム「FAST ESP」に、クロスサイトスクリプティングの脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で公表した。

 FAST ESPは、情報を一元管理し、検索可能にするためのソフトウェア。バージョン5.1.5およびそれ以前に、クロスサイトスクリプティングを実行される脆弱性が確認された。この問題が悪用されると、遠隔地の第三者によって、ユーザーのウェブブラウザ上で任意のスクリプトを実行される可能性がある。

 ファストでは、この脆弱性を解消するアップデートを提供している。カスタマーサポートへ連絡の上、最新バージョンを入手してアップデートするよう呼びかけている。

 なお、JVNではこの脆弱性の危険度について、以下のように分析している。

  • 攻撃経路:インターネット経由からの攻撃が可能(高)
  • 認証レベル:匿名もしくは認証なしで攻撃が可能(高)
  • 攻撃成立に必要なユーザーの関与:リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される(中)
  • 攻撃の難易度:ある程度の専門的知識や運が必要(中−高)
  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

  • ビジネスの継続的な成長を促す新たなITのビジョン

    多くの企業においてITに求められる役割が、「守り」のコスト削減から「攻め」のビジネス貢献へとシフトしつつある。その中でIBMが提唱する新たなビジョンEnterprise Hybrid ITとは?

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つプレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!