複数ベンダーのルータにクリックジャッキングの脆弱性 - JPCERT/CC

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は11月2日、「Japan Vulnerability Notes(JVN)」に掲載した記事「JVN#48135658 - 複数のルータ製品におけるクリックジャッキングの脆弱性」において、複数のルータ製品に存在する脆弱性について伝えた。該当する製品を使用している場合は説明されている対策方法などを適用し、早期に問題に対処することが推奨される。

今回指摘されている脆弱性は、管理画面にログインしているユーザが細工されたページにアクセスして特定のコンテンツをクリックした場合に、予期せぬ操作をさせられる危険性があるというもの

どのルータ製品に脆弱性が存在しているのか、すでに修正版は提供されているのか、どのようにアップデートを適用するすればよいのかは、各ベンダーのサイトで確認する必要がある。ベンダのサイトには「JVN#48135658 - 複数のルータ製品におけるクリックジャッキングの脆弱性」のページを経由してアクセスできる。

10月30日時点で、該当製品があるとしているベンダーは、アライドテレシス、センチュリー・システムズ、プラネックスコミュニケーションズ、ヤマハ、NEC(調査中)、アイ・オー・データ機器(調査中)、バッファロー(調査中)。