パスワードを忘れた? アカウント作成
10475421 story
Yahoo!

米Yahoo!の広告からマルウェアが拡散、数千人のユーザーが被害を受けた可能性 18

ストーリー by hylom
狙われる広告ネットワーク 部門より
あるAnonymous Coward 曰く、

米Yahoo!にて、マルウェアを配布するための広告が配信された。これにより大規模なマルウェア感染が引き起こされた可能性があるという(GIGAZINEロイター)。

今回確認されたマルウェアはJavaの脆弱性をターゲットにしたものであり、セキュリティ専門家は、ウェブブラウザがJavaをサポートする場合、Javaを機能しないようにすることを推奨している。

Yahoo!側は同社の配信した広告によるマルウェア拡散の可能性について認めたものの、問題の広告についてはすぐ取り除かれたとのこと。また、Macや携帯端末への影響はないという。

なお、Yahoo!が配信する広告経由のマルウェア感染については以前から問題となっていた(TechCrunch)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Dobon (7495) on 2014年01月07日 8時33分 (#2523011) 日記

    グーグルなど、他の業者の対策に興味があったり。
    高度な対策技術が必要なのか、それとも単純にヤフーが無対策なだけなのか、ちょっと判断がつきませんので。

    # ヤフーは投資会社であって技術はない、というのが正しそうだけど……

    --
    notice : I ignore an anonymous contribution.
    • by Anonymous Coward

      今回のiframeやリダイレクションに限らず、スクリプトの抑止など、配信前にやれることはあるはずなのですが、お客様は神様だからなのか、ほとんど何もしていません。googleが配信しているものであっても、難読化したスクリプトが入っていたり、広告業者のやりたい放題です。

  • by w1allen (21025) on 2014年01月07日 9時28分 (#2523026)

    Java、怖いね。
    でも、Java必須のサイトがあるので、止められない。
    早くセキュリティアップデートしてくれ~。

    • by hishakuan (32621) on 2014年01月08日 13時38分 (#2523736) 日記

      SleipnirのデフォルトモードをJava、Japascriptその他もろもろオフにして、
      必要なサイトでだけフルアクセスモードにしてる。
      ブラウザの右下ワンクリックで切り替えられるのでらくちん。
      一瞬で設定変えられないと普段から切っておくのは不便なんだよねえ。

      親コメント
  • by Anonymous Coward on 2014年01月07日 12時24分 (#2523103)

    広告提供会社に「既知を含む脆弱性のある広告を提出した場合の責任」を明確化させるのがベターでしょうねぇ。
    ぶっちゃけ、既知の脆弱性に関しては提供バナーをスキャンすればいいでしょうし。

    ※そこにゼロデイを使う? もったいないじゃないか!

    今回のもYahoo!だけが悪いとは言わんけど、Yahoo!のページを開いて感染って悪名がとどろかないようにするべき。

  • Write once, run anywhere はガセなの?

  • by Anonymous Coward on 2014年01月07日 8時28分 (#2523009)

    史上最悪の事例なんじゃ…

  • by Anonymous Coward on 2014年01月07日 10時23分 (#2523047)

    > セキュリティ専門家は、ウェブブラウザがJavaをサポートする場合、Javaを機能しないようにすることを推奨している。

    ○○家は、ウェブブラウザがJavaをサポートする場合、Yahoo!を利用しないようにすることを推奨している。

    • by the.ACount (31144) on 2014年01月08日 13時13分 (#2523723)

      Javaは切りっぱなしだが困った事ないな。

      --
      the.ACount
      親コメント
    • by Anonymous Coward

      セキュリティの専門家さんは昔からそういうこと言ってますけど現実的じゃないのよね特に今だと
      もういっそのことセキュリティ専門家はインターネットを使用しないことを推奨すればいいよ
      そうすればセキュリティリスクは激減するんだから

  • by Anonymous Coward on 2014年01月07日 12時03分 (#2523082)

    Macを買えば良い。
    あるいはLinuxを使うのも良い手段だ。

    • by Anonymous Coward

      そこでWindows RTですよ。

  • by Anonymous Coward on 2014年01月07日 14時49分 (#2523219)

    JavaScriptだったらやばかった

typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...