一般社団法人 JPCERT コーディネーションセンター https://jvn.jp/jp/JVN48135658/
> JVN#48135658: 複数のルータ製品におけるクリックジャッキングの脆弱性
※ コレガさん製品には影響せず、みたい。
NEC http://jpn.nec.com/security-info/secinfo/nv15-019.html
> NV15-019: NEC製品セキュリティ情報 | NEC
> iframeを使用するWebシステムにクリックジャッキングの脆弱性
ヤマハ http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/JVN48135658.html
> FAQ for YAMAHA RT Series / Security
> 「複数ルータにおけるクリックジャッキング対策の不備の脆弱性」について
BUFFALO バッファロー http://buffalo.jp/support_s/s20151030.html
> 製品セキュリティ情報 | BUFFALO バッファロー
> クリックジャッキング対策の不備の脆弱性
※ 型番 "W*R-1???DHP?" あたりにはだいたい影響。 でも WHR 系は未記載。 ほんと?
インプレス INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20151030_728285.html
> ルーターの管理画面にクリックジャッキングの脆弱性、ヤマハやバッファロー、アイ・オー・データなど該当製品あり -INTERNET Watch
「 ルーターの DNS 設定を書き換えられたら、偽サイトに連れて行かれるかも 」 ってことを書いて欲しい気がします。
アドレスバーの表示は、本物のサイトのモノですからねぇ。
さて、 NEC さんの文書が iframe に言及してますが。
userContent.css で iframe 無効化しておけば取りあえずワークアラウンドになる? のでしょうか??
Aterm の設定画面ほかが正しく表示されなくなる可能性がありますが。
まあ、ジャックされれば、少なくとも NoScript から iframe 系の警告は出そうですねぇ。
(関連)
http://d.hatena.ne.jp/TsuSUZUKI/20150312/1426166544
※ userContent.css
http://d.hatena.ne.jp/TsuSUZUKI/20150616/1434514385
※ 最近の無線親機は 「 WEP 無効 」 & 「 WPA2-PSK + AES 」 が省略時値 ?
http://d.hatena.ne.jp/TsuSUZUKI/20150307/1425686960
※ WHR-1166DHP と EP-707A と dynabook
http://d.hatena.ne.jp/TsuSUZUKI/20150905/1441444702
※ JVNVU#99671861: UPnP を実装した複数のルータ製品にセキュリティ機能の実装が不十分な問題
http://d.hatena.ne.jp/TsuSUZUKI/20150611/1434030290
※ JVN#50447904: バッファロー製の複数の無線 LAN ルータにおける OS コマンドインジェクションの脆弱性
(追記@2016/02/19)
IODATA アイ・オー・データ機器 http://www.iodata.jp/support/information/2016/clickjacking/
> クリックジャッキングの脆弱性について | IODATA アイ・オー・データ機器
いじょうです。
-
- -
