Content-Length: 74374 | pFad | https://www.itmedia.co.jp/enterprise/articles/1409/17/news053.html
攻撃者が電子書籍のタイトルなどのメタデータに不正なコードを挿入し、被害者のアカウントに侵入することが可能だったという。
米Amazonが提供するKindleの電子書籍管理用のWebサイトにクロスサイトスクリプティング(XSS)の脆弱性があり、電子書籍に不正なコードを仕込んでアカウントに侵入することが可能だったという。ドイツの研究者が9月12日のブログで伝えた。
それによると、脆弱性が見つかったのは電子書籍を保存したりKindleに転送したりするための管理ページ「Kindle Library」。脆弱性を突いて、例えば電子書籍のタイトルなどのメタデータに不正なコードを挿入できてしまう状態だったという。
不正なコードはユーザーがKindle LibraryのWebページを開くと実行され、攻撃者がcookieを入手して被害者のアカウントに侵入することが可能だった。研究者はコンセプト実証デモも公開している。
この攻撃では、例えば海賊版の書籍などを信頼できない場所から入手して、Amazonの「Send to Kindle」サービスを使ってKindleに転送しているユーザーなどが最も被害に遭いやすいという。
一方、Amazonが販売する電子書籍のみを使っている場合は安全なはずだとしている。
研究者は2013年10月にこの問題を発見してAmazonに通報し、いったんは脆弱性が修正された。ところが2014年になってKindle管理用のWebページが刷新された際に、脆弱性が再び導入されたという。この問題も9月16日に修正されたと伝えている。
Copyright © ITmedia, Inc. All Rights Reserved.
Fetched URL: https://www.itmedia.co.jp/enterprise/articles/1409/17/news053.html
Alternative Proxies: