テンセントQQグループは、ユーザーを強制的にページにジャンプさせ、トロイの木馬をインストールするためのウィンドウをポップアップさせるXSS攻撃の脆弱性を発見した。

テンセントQQグループは、ユーザーを強制的にページにジャンプさせ、トロイの木馬をインストールするためのウィンドウをポップアップさせるXSS攻撃の脆弱性を発見した。

【TechWeb Report】6月11日、テンセントQQグループの脆弱性報告ウェブサイトにXSS攻撃の脆弱性があることが明らかになりました。JavaScriptが実行され、ユーザーを強制的に別のページに飛ばしたり、ポップアップウィンドウを表示したり、個人情報を漏洩させるトロイの木馬のインストールを誘導したりする可能性があります。

XXS は CSS (Cross Site Script) とも呼ばれ、クロスサイト スクリプティング攻撃を意味することが知られています。悪意のある攻撃者は、Web ページに悪意のある HTML コードを挿入します。ユーザーがページを閲覧すると、Web ページに埋め込まれた HTML コードが実行され、ユーザーを悪意を持って攻撃するという特別な目的が達成されます。

業界関係者によると、この抜け穴はさまざまなウェブサイトアドレスを利用してQQグループに広く拡散される可能性があり、一度悪用されると、多数のユーザーのクッキーが盗まれ、ユーザーの個人情報が漏洩する可能性があるという。そして今、誰かがこの脆弱性を利用して情報を盗んでいます。

本稿執筆時点では、テンセントからの公式回答はなく、脆弱性の状況は依然として「メーカーによる処理待ち」となっている。 （アントン）

原題: Tencent QQ グループで発見された XSS 攻撃の脆弱性により、ユーザーは強制的にページにジャンプし、トロイの木馬をインストールするためのウィンドウをポップアップ表示できます

キーワード: