修正済み Web アプリケーションの脆弱性
『○○に△△という脆弱性があり、X 月 X 日に修正されました。のような 1 行情報でも意味があると私は考えています。』ということですので、ここ数ヶ月に届け出たもののうち、代表的なものを挙げてみます。届け出てから修正されるまでの期間、というのは意味があるかも知れない…。
| 届出日 | 修正日 | 脆弱性の概要 |
|---|---|---|
| '05/04/14 | '05/04/28 | mixi.jpにおけるCSRF |
| '05/04/28 | '05/07/05 | mixi.jpにおけるCSRF |
| '05/05/28 | '05/07/05 | mail.goo.ne.jpにおけるXSS |
| '05/07/23 | '05/08/26 | mail.goo.ne.jpにおけるXSS |
| '05/07/23 | '05/08/23 | otegami.itp.ne.jpにおけるXSS |
| '05/07/23 | '05/08/18 | www.excite.co.jp/mail/におけるXSS |
| '05/07/23 | '05/10/21 | gigamail.livedoor.com/におけるXSS |
| '05/11/27 | '06/01/19 | filn.jpにおけるXSS |
| '06/01/12 | '06/1/26 | www.frepa.livedoor.comにおけるXSS |
(追記) mixiのCSRFについて、slashdot 経由な人は こちらも参照するとよいかも知れません。
(追記)
ちなみに、IPAに届け出て受理されたものの「修正完了」ではなく「取扱い終了」となったものとしては以下のような例があります。こちらのほうが興味深いかも知れません。
| 届出日 | 取扱い終了日 | 脆弱性の概要 | コメント等 |
|---|---|---|---|
| '05/11/24 | '06/02/24 | www.cocolog-nifty.comにおけるXSS | Cookieの漏洩はないため対応しない |
| '05/11/25 | '06/02/24 | blog.livedoor.jpにおけるXSS | Cookieの漏洩はないため対応しない |
もちろん、これらはあくまでも「氷山の一角」です。
