Second Lifeにパスワード流出の脆弱性 アバター乗っ取りの恐れも

 3D仮想空間「Second Life」に、ユーザーのパスワードなどを盗むことができてしまう脆弱性が見つかった。セキュリティ各社のリスク評価はそれほど高くないが、ログイン情報が盗まれれば、Second Lifeのアバターを乗っ取られてしまう恐れもある。


 仏FrSIRTのアドバイザリーによると、この脆弱性は、アプリケーションをインストールする過程で登録される「secondlife://」URIハンドラの設計ミスに起因する。攻撃者が不正なiframeを仕掛けたWebページをユーザーに閲覧させることにより、ユーザーネームとパスワードを盗み出すことが可能になる。

 問題を発見したハッカー組織「GNUCITIZEN」は、不正なWebページを使ってログイン情報を盗み出す手順をサイト上で公開。問題の悪用にはInternet Explorer(IE)6と7が利用できるとしている。

 FrSIRTのリスク評価は4段階で下から2番目に低い「Moderate Risk」。しかしGNUCITIZENでは、Second Lifeの通貨「リンデンドル」が現金に換金できることから、被害者が多額のリンデンドルを持っている場合、極めて深刻な状況に陥ると指摘している。

(2007.9.19/ ITmediaエンタープライズ)
[PR]

by fbitnews2006-6 | 2007-09-19 18:19 | インターネット総合  

<< KDDI、インテル、京セラ、J... IBM、無償オフィススイート「... >>