mixiが運営するサイトで重大な脆弱性が発見されるも「既知の脆弱性である」として賞金は無しに

2014年4月17日 20:05

印刷

記事提供元:スラド

あるAnonymous Coward 曰く、 昨年9月30日より賞金付きの脆弱性報告制度を開始したmixiだが、この報告制度を使って「外部からOSコマンドを実行できる」という重大な脆弱性が報告されたそうだ。だが、「既知の脆弱性である」と判断され賞金提供には至らなかったという。

 問題の脆弱性はmixiが運営するサイト「ショッパーズアイ」にて見つかったもので、外部からOSコマンドを実行できるというもの(mixi脆弱性報告制度:評価対象外になったもの — WEB系情報セキュリティ学習メモ)。

 mixiは脆弱性報告制度を開始した際、賞金の例として「リモートからWebサーバー上で任意のコードが実行可能」に「100万円」が提示されていたが、今回は「既知の脆弱性である」との判断で報酬の対象外になったという。

 また、URLのパラメータを変更することでページ内のプルダウンメニューの項目を非常に大きな数に変更できるという、DoS攻撃を容易にする仕様についても報告したがこちらも「既知」とされてしまったそうだ。ちなみにこの報告者は過去にmixiに対し別の脆弱性を報告し報酬を手に入れているそうだ

 スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ

 関連ストーリー:
Google、オープンソースソフトウェアの脆弱性修正にも報奨金を提供 2013年10月13日
MS、IE11の脆弱性発見者に対し総額2万8,000ドルの賞金を出す 2013年10月10日
mixiが「賞金付き」の脆弱性報告制度を開始 2013年10月01日
Google、バグ発見者達に総額4000ドル以上の報奨金を支払う 2010年09月16日

 

※この記事はスラドから提供を受けて配信しています。

関連記事