アーカイブ
GoodReaderにおけるクロスサイトスクリプティングの脆弱性
2012年8月2日 | 注意喚起
LAC Advisory No.111
Problem first discovered on: Wed, 30 Jun 2010
Published on: Thu, 2 Aug 2012
脅威度
中
概要
GoodReaderには、クロスサイトスクリプティングの脆弱性が存在します
詳細
GoodReaderは、Appleのモバイルデバイス向けのPDF等のドキュメントリーダです。GoodReaderでは、ディレクトリ内のファイル一覧を表示する際に、ディレクトリ名部分を適切にエスケープしていないため、Stored XSS の問題があります。
ユーザがウェブブラウザ経由で GoodReaderを使用した場合、そのウェブブラウザ上で任意のスクリプトが実行される可能性があります。
スクリーンショット
影響を受ける バージョン
- GoodReader for iPad 3.16 およびそれ以前
- GoodReader for iPhone / iPod Touch 3.15.1 およびそれ以前
対策
開発者が提供する情報をもとに最新版にアップデートしてください。
[ベンダ情報]
http://www.goodiware.com/goodreader.html
発見者
山崎 圭吾(ラック)
謝辞:
本問題は、情報処理推進機構(IPA) および JPCERT/CC による『情報セキュリティ早期警戒パートナーシップ』に従い、2010年6月に届出をおこなったものです。
http://jvn.jp/jp/JVN01598734/
http://jvndb.jvn.jp/jvndb/JVNDB-2012-000073
CVE番号:
CVE-2012-2648
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2648