パスワードを忘れた? アカウント作成
772828 submission
インターネット

Winnyにクロスサイトスクリプティング脆弱性

タレコミ by k3c
k3c 曰く、
セキュリティホールmemo MLへの投稿によると、先日公式サイトが閉鎖され/.Jでも話題になったファイル共有ソフトWinnyにおいて、掲示板機能のHTTPサーバにクロスサイトスクリプティング脆弱性があり、ある方法で記載されたURLへのリンクをブラウザで表示させると、イントラネットゾーンのセキュリティレベルで任意のHTMLが表示されてしまう、Winnyを使用中であることをReferrer情報と共に他者に知らせてしまうなどの問題がある。上の投稿ではポート番号を変更して他者に知られないようにする、イントラネットゾーンのセキュリティレベルを「高」に設定するかlocalhostを「制限付きサイト」に追加する、などの回避方法が提示されている。
なお、新しいバージョンがWinnyのネットワーク上で配布されており、このバージョンではBBSポート番号を0に設定することで機能を無効にできるらしい(タレコミ人は未確認)。詳しいヒトのフォロー希望。
typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...