LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

登録する
注意喚起 | 

GoodReaderにおけるクロスサイトスクリプティングの脆弱性

シェアボタンを表示

LAC Advisory No.111

Problem first discovered on: Wed, 30 Jun 2010
Published on: Thu, 2 Aug 2012

脅威度

概要

GoodReaderには、クロスサイトスクリプティングの脆弱性が存在します

詳細

GoodReaderは、Appleのモバイルデバイス向けのPDF等のドキュメントリーダです。GoodReaderでは、ディレクトリ内のファイル一覧を表示する際に、ディレクトリ名部分を適切にエスケープしていないため、Stored XSS の問題があります。

ユーザがウェブブラウザ経由で GoodReaderを使用した場合、そのウェブブラウザ上で任意のスクリプトが実行される可能性があります。

スクリーンショット

スクリーンショット

影響を受ける バージョン

  • GoodReader for iPad 3.16 およびそれ以前
  • GoodReader for iPhone / iPod Touch 3.15.1 およびそれ以前

対策

開発者が提供する情報をもとに最新版にアップデートしてください。

[ベンダ情報]

http://www.goodiware.com/goodreader.html

発見者

山崎 圭吾(ラック)

謝辞:
本問題は、情報処理推進機構(IPA) および JPCERT/CC による『情報セキュリティ早期警戒パートナーシップ』に従い、2010年6月に届出をおこなったものです。

http://jvn.jp/jp/JVN01598734/

http://jvndb.jvn.jp/jvndb/JVNDB-2012-000073

CVE番号:
CVE-2012-2648

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2648

この記事をシェアする

  • Xでシェア
  • Facebookでシェア
  • はてなブックマークに追加
  • noteで書く
  • noteで書く

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

登録する

この記事は役に立ちましたか?

はい いいえ

関連記事

LAC WATCH

関連記事をご紹介します

  • Documents Pro (旧 Files HD) におけるディレクトリトラバーサルの脆弱性

    この記事を読む

  • Documents Pro (旧 Files HD) におけるクロスサイトスクリプティングの脆弱性

    この記事を読む

  • アップル社製iPhoneやiPadの脆弱性を悪用した攻撃の可能性に関して

    この記事を読む

よく読まれている記事

タグ

page top