索尼在2003年3月3日发表通知称,个人电脑上操作非接触型IC卡读/写器“PaSoRi”的软件“FeliCa Offline Viewer”存在安全漏洞,该漏洞可能导致电脑被第三方操控。同时,索尼主页上已开始提供修正程序。
PaSoRi是在个人电脑上读写索尼非接触型IC卡“FeliCa”的装置。FeliCa是一种IC卡,用于Bitwallet的电子货币“Edy”、以及索尼金融国际的电子货币“eLIO”上。在个人电脑上使用Edy及eLIO而安装了PaSoRi对应软件的用户,可能会受到该安全漏洞的影响。
据索尼称,用户运行FeliCa Offline Viewer时,如果访问了包含有危险内容的互联网主页时,就有可能在没有任何警示的情况下被执行任意指令,从而造成非用户意愿的数据改写、破坏以及泄密等。现今技术条件下这种危险无法用市售普通病毒检测软件防范。不过,如果FeliCa Offline Viewer未执行,那么该安全漏洞不能被恶意使用。
发现这一漏洞的高木浩光在安全研究人员的邮件列表“安全漏洞备忘邮件列表”中指出,问题出在FeliCa Offline Viewer嵌入的WWW服务器软件上,该软件对跨站脚本执行的非法访问对策尚不完善。
跨站脚本执行是指在Web服务器或Web应用上,嵌入非法脚本来要求输入数据、并将其发送给用户的非法手段。由于非法脚本被当做来自目标Web服务器的脚本来执行,会以目标网站的安全级别执行非法脚本。由于个人电脑上FeliCa Offline Viewer正在运行,比如在Internet Explorer的情况下,就不是以“互联网域”的安全级别、而是以更低级别的“Intranet域”的安全级别来执行脚本。