エフセキュアブログ : ソーシャルメディア時代の脆弱性報告

ソーシャルメディア時代の脆弱性報告

2011年05月27日22:28

ツイート

ヘルシンキ発

by：ミッコ・ヒッポネン

　昨晩、古い電子メールを探していて、以下の奇妙なヘッダを見つけた：

Tweetdeck XSS

Tweetdeck XSS

　ユーモアのセンスを持つ誰かが、メールのヘッダにXSSジョークを挿入したのだ。

　面白いと思ったので、このことについてTwitterに投稿した：

Tweetdeck XSS

Tweetdeck XSS

　数分後、私はRobin Jacksonが以下のようにリプライしているのに気づいた：

Tweetdeck XSS

Tweetdeck XSS

　あり得ない。ツイートが「スクリプト」タグを含んでいるからといって、Javascriptを実行するTwitterクライアントは無い。

Tweetdeck XSS

Tweetdeck XSS

Tweetdeck XSS

　本当であることを示すため、Robinはスクリーンショットを投稿してくれた。

Tweetdeck XSS

Tweetdeck XSS

　彼が使用しているクライアントは、Chrome用のTweetdeckだった。開発者に報せなくては。そしてもちろん、彼らもTwitter上にいる。

Tweetdeck XSS

Tweetdeck XSS

　TwitterのセキュリティチームのRandy Janindaが、数分で反応した：

Tweetdeck XSS

Tweetdeck XSS

Tweetdeck XSS

Tweetdeck XSS

　そしてほんの2時間後には、Twitter開発チームのTom Woolwayから、修正が完了したという知らせをもらった：

Tweetdeck XSS

Tweetdeck XSS

サインオフ
ミッコ

＞＞原文へのリンク

トラックバックURL

バックナンバー

Ustream生中継アーカイブ

エフセキュアブログ開設1周年を記念して6月8日に開催したパネルディスカッションの模様をご覧いただけます。

新着記事

OWASP World Tour Tokyo

トランプ政権のサイバーセキュリティ政策

Rakuten Global CISO Summit

THE FIGHT AGAINST CYBERCRIME

QuickPost: さらなる拡大を予感させるMirai Botnetの攻撃インフラ網

未来のチカラ

マルウェアの歴史： CODE RED（コードレッド）

検出ロジックの現状はどうなっているか

ネットワークレピュテーションの現状はどうなっているか

拡散状況はどうなってるか

不在通知のOPSEC（運用上のセキュリティ）

IoTはどこで作られているのか?

スレットインテリジェンスの現状はどうなっているか

QARALLAX RAT：米国ビザ申請者を偵察

さよならFLASH！第2.5弾 MICROSOFT EDGEの「CLICK TO FLASH」

さよならFlash！第2弾 – Firefox、Flashのサポートを「縮小」へ

サイバー空間も注目のリオ五輪

あなたと同じ言語への対応を試みるULTRADECRYPTER

LOCKYの新たな大流行

興味深いベトナム航空などへのサイバー攻撃報道

カテゴリ

ヘルシンキ発

サンノゼ発

クアラルンプール発

オフィシャルコメント

セキュリティ関連リンク

セキュリティ機関

一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)

独立行政法人情報処理推進機構(IPAセキュリティセンター)

Security RSSポータル(IPA)

政府関連

内閣官房情報セキュリティセンター(NISC)

経済産業省商務情報政策局情報セキュリティ政策室情報セキュリティ政策、緊急情報

総務省国民のための情報セキュリティサイト

警察庁サイバー犯罪対策

警察庁セキュリティポータルサイト＠police

財団法人地方自治情報センター（LASDEC）

セキュリティ関連団体

特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)

セキュリティ対策推進協議会(SPREAD)

フィッシング対策協議会

財団法人日本データ通信協会テレコム・アイザック推進会議

サイバークリーンセンター

特定非営利活動法人デジタル・フォレンジック研究会

財団法人インターネット協会(IAjapan)

社団法人日本インターネットプロバイダー協会(JAIPA)

日本ネットワーク・オペレーターズ・グループ(JANOG)

日本セキュリティオペレーション事業者協議会

インターネット技術第163委員会

日本銀行金融研究所(IMES)

財団法人金融情報システムセンター(FISC)

研究機関・大学

独立行政法人情報通信研究機構(NICT)

独立行政法人産業技術総合研究所情報セキュリティ研究センター(RCIS)

日本セキュリティ・マネジメント学会(JSSM)

情報ネットワーク法学会

情報セキュリティ大学院大学

慶應義塾大学SFC研究所

中央大学研究開発機構

人気記事と参照元様一覧

　記事ランキング

　参照元ランキング（御礼）

詳細カテゴリ

ヘルシンキ発 (1210)

サンノゼ発 (12)

クアラルンプール発 (167)

東京発 (154)

ロシア発 (1)

オフィシャルコメント (231)

つぶやき (34)

by：ミッコ・ヒッポネン (274)

by：ショーン・サリバン (609)

by：アーチュリ・リーティオ (3)

by：高間剛典 (51)

by：星澤裕二 (19)

by：岩井博樹 (70)

by：福森大喜 (61)

by：片山昌憲 (2)

by：鵜飼裕司 (10)

by：福本佳成 (17)

by：神田貴雅 (2)

by：富安洋介 (4)

by：尾崎リサ (92)

by：ウェブセキュリティチーム (18)

by：スレットインサイトチーム (15)

by：スレットソリューションチーム (30)

by：レスポンスチーム (53)

by：スレットリサーチチーム (13)

by：SecResearch (1)

by：SecResponse (18)

by：ヒリアチ・アリア (33)

by：ブロデリック・アキリノ (8)

by：ミカ・スタルバーグ (4)

by：トニ・アラピールト (1)

by：ナイ・ダン (1)

by：アンティ・ティッカネン (10)

by：ジャルノ・ネメラ (15)

by：サラ・ジャマルディン (5)

by：エラ・エリクソン (1)

by：パトリック・ルノー (11)

by：フェイ・ウィン・チア (5)

by：カルミナ・アキノ (10)

by：ティモ・ヒルヴォネン (7)

by：マイケル・アルブレクト (2)

by：パトリシア (10)

by：ドミトリー・ヴィクトロフ (1)

by：ヤルコ・ツルクレイネン (2)

by：エディル・カユコム (2)

by： SuGim (4)

横浜発 (36)

メディア関係者の皆様へ

メディア関係者の皆様へ

エフセキュアブログメンバー

エフセキュアブログメンバー

ミッコ・ヒッポネン: エフセキュア CRO（セキュリティ研究所主席研究員）（ヘルシンキ）
(Twitterアカウント)
(研究所Twitter)

ショーン・サリバン: エフセキュアセキュリティ・アドバイザー（ヘルシンキ）
(Twitterアカウント)

高間剛典: メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)

星澤裕二: 株式会社セキュアブレイン最高技術責任者
(公式ブログ)
(人物紹介)

岩井博樹: デロイトトーマツリスクサービス株式会社 (～2013年3月株式会社ラック) 情報セキュリティ大学院大学　客員研究員
(Twitterアカウント)
(人物紹介)

福森大喜: 株式会社サイバーディフェンス研究所上級分析官
CDI-CIRTメンバー
(人物紹介)

鵜飼　裕司: 株式会社FFRI 代表取締役社長
(人物紹介)

福本　佳成: 楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)

神田貴雅: エフセキュア株式会社プロダクトグループ部長

富安洋介: エフセキュア株式会社プロダクトグループ

コーポレートセールスチーム: エフセキュア株式会社
 (エフセキュアブログ公式Twitterアカウント)

海外記事翻訳 株式会社イメージズ・アンド・ワーズ

エフセキュアメールマガジン

エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログフィード

エフセキュア関連リンク

F-Secure Weblog（英語）

YouTube FSLABS（英語）

Safe and Savvy（英語）

YouTube エフセキュアジャパン

エフセキュアブログＱＲコード

QRコード