未対策・未発表な多数の国内産脆弱性情報が暴露
タレコミ by jbeef
jbeef 曰く、
「セキュリティーホール調査」と題する日本語で記述されたWebサイトに、多数の脆弱性情報が公開されている。いくつかは「パッチ/対策済み」とされているが、半分以上が「未対策」とされている。「私が発見した」と書かれており、BUGTRAQ等には投稿されていないことから、「未発表」な「国内産」の脆弱性情報であると言える。各ページには「概要」「影響を受ける環境」「方法」「危険性」「対策法」が記述されているが、ベンダーの対応状況は書かれておらず、ベンダーへの通知なしに暴露されたものかもしれない。
公開されているものには、IE、Windows Media、Real Player、Winamp、Microsoft Word、PowerPoint、Googleツールバーに関するものの他、DonutPやSleipnir、Lunascapeなど、国産の「タブブラウザ」に関する脆弱性がある。さらには、Webサイトの脆弱性として、国内のメジャーサイトのクロスサイトスクリプティング脆弱性が多数(楽天、はてな、excite、Doblog、2log、amazon.co.jp、UFJ銀行、ジャパンネット銀行、Bidders等)と、Hotmailとgooフリーメールの脆弱性が公開されている。
このページがいつから公開されていたかは不明であるが、"www2.sala.or.jp/~uuu/security/"で検索してみると、今年5月下旬からローカルな掲示板等では既に話題になっていたことが観察される。この人物は、かつて、2001年にも同様の情報を公開していたことがあった。セキュリティホールmemo 2001年12月25日付の「知能力学研究所」の部分にその記録がある。archive.orgの記録によると、当時「セキュリティー情報(ネット海賊ネコネコ団)」と題して公開していたが、後に「準備中」という表示になって閉鎖されていた経緯がある。