予告.inがきっかけで､2ちゃんねるへ強制自動フシアナ書き込みをする「poo!」スクリプトが暴走中 ★9

1 ：矢野スクリプト(仮)＠株主 ★：2008/08/03(日) 21:34:50.78 愛 ID:8qMxAgLN0 ?PLT(12000) ポイント特典 株主優待

予告inにおけるXSS脆弱性、及び被害の概要について
http://yokoku.in/column/release/080803.php

●まとめ
3日午前3時頃、予告inに通報(予告inでのスレ立て)しようとすると、VIP板にフシアナで「警視庁※※する」というスレを立ててしまうスクリプトが埋め込まれる。
通報した本人が犯行予告して通報されるという永久機関が完成。VIP荒れる。便乗して本当に犯行予告する人も現れる。
↓
他サイトでも、今回の脆弱性を利用したスクリプトが発見される。
↓
予告.inの矢野さとるさん脆弱性対策完了。
↓
行き場を失った派生スクリプトが２ちゃんねるで暴走中。悪質なページにアクセスすると特定のスレへ
フシアナで「poo!」と強制的に書き込み(ログインしているBe持ちはBe出したまま)を行わされてしまう。
↓
6スレ目で ID:hYrLSqcY0 氏がPerlスクリプトソース公開。
7スレ目で ID:CiG+JP9j0 氏がPHP版スクリプトソース公開。998でNHKが引っかかる。
↓
今後は投稿内容を危ない文章に改変したものや、別板へスレ立てするタイプや、
クリップボード取得関数を使用したものなどが登場するのではという懸念が広がる。
URL圧縮サービスを使用したアドレスは当分踏まない方が良さそうだ。(jpg偽装版は開くのが専用ブラウザならセーフ)

●前スレログ
08 http://www.23ch.info/test/read.cgi/news/1217764522/
07 http://www.23ch.info/test/read.cgi/news/1217761440/
06 http://www.23ch.info/test/read.cgi/news/1217753332/
05 http://www.23ch.info/test/read.cgi/news/1217731920/
04 http://www.23ch.info/test/read.cgi/news/1217711223/
03 http://www.23ch.info/test/read.cgi/news/1217703980/
02 http://www.23ch.info/test/read.cgi/news/1217703826/
01 http://www.23ch.info/test/read.cgi/news/1217700863/