お知らせ

セキュリティアップデート 2011-04-19

2011/4/19 by Evernote Japan

2011/4/19 by Evernote Japan

コメント

日本時間の2011年4月18日午後11時44分に、Evernoteのウエブページの一つにセキュリティ上の脆弱性が発見されたことを、日本のユーザーから報告を受けました。

弊社ではすぐにサーバーのソフトウエアを検証し、約7時間後の日本時間の2011年4月19日午前6時54分にサーバソフトウエアの修正を行い、そしてすべてのサーバーを再起動しました。本件に関連して、Evernoteユーザのデータに影響は無かったと考えています。

この問題を迅速にEvernoteに報告してくださった日本のユーザーの方々に感謝致します。

2011年4月25日 更新:

4月18日に発見されたセキュリティ上の脆弱性について、より詳細な情報を追記いたします。

Evernoteのウェブページのいくつかに関して、サーバー側のソフトウェアに不具合があり、巧妙にURLを作成することで、 任意のJavaScriptコードをそのページに埋め込むことが可能でした。もし、Evernoteにログイン中のユーザーが悪意のある者によって作成されたURLをブラウザーで閲覧した場合、埋め込まれたコードがEvernoteユーザーに影響を与える可能性がありました。なおその場合でも、他のユーザーのデータに影響はありません。影響を受ける可能性があるのは、そのURLをクリックしたユーザーに限られます。

日本時間の2011年4月18日深夜に日本のユーザーからこの脆弱性についての報告を受けた後、弊社ではすぐにサーバーのソフトウエアを検証し、約7時間後の日本時間の2011年4月19日早朝にサーバソフトウエアの修正を行い、そしてすべてのサーバーを再起動しました。また、その直後にEvernoteの全ウェブページの見直しをはかり、同様の脆弱性に対する対応を行いました。

同時に弊社のウェブサーバーのログを分析し、この脆弱性が全てのユーザーのデータに悪影響を与えなかったことを確認しました。すなわち、現在までにデーターの書き換え、消失、流出など、具体的な問題は一切発生していません。

弊社はセキュリティを非常に慎重に考えています。常にシステムの管理を行いながら、ユーザーのみなさんと協力して、このような脆弱性が深刻な問題に至る前に修正を行っています。

Premium

Evernote プレミアム

アップグレードすると、仕事・プライベートでさらに活用できます。

プレミアム会員になる
このカテゴリの記事を見る: 'お知らせ'
Support Info

製品に関するお問い合わせ、サポートをご希望の方は、サポートページからお問い合わせください。

6 コメント RSS

この記事に対するコメントを残す

  • uu59

    修正が中途半端なので脆弱性は残ったままです。

  • AoVA

    XSS脆弱性を甘受するような設定を行うことをFAQで推奨していた点についての声明を出してください。
    セキュリティレベルを下げることで実装上の問題を解決しようとする企業という認識を打ち消せるような説明と方針の提示が必要です。

  • SzN

    『本件に関連して、Evernoteユーザのデータに影響は無かったと考え』る根拠を提示頂かない限り、何の信頼性もありません。
    プレミアムユーザとして、御社プライバシーポリシーに定められる『システム上でのセキュリティーの確保のために商業的に合理的なあらゆる努力』の履行を求めます。

  • rush

    今回のXSS脆弱性に限らず、リリースされても不具合だらけなクライアントやら、まともに動作しない新機能(新しいwebインターフェースしかり、ノートの共有しかり)やら、日本語入力関連の不具合が報告されても放置なまんまな状況とか、御社を信用できない材料だらけで困惑しています。XSS脆弱性は恒久的な対応はされるのですか?日本語フォーラムにポストされた数々の不具合は修正されますか?今後のアップデートでデータに致命的な損傷を与えないという補償はできますか?というか新バージョンのクライアント触るたびに思うんですが、御社はテストしてるんですか?なにより貴方達に大事なデータを預けても大丈夫なのでしょうか?
    有償アカウントユーザとしては今後のロードマップが理解できるような説明を望みます。この説明では場当たり的に対応したようにしか見えないです。

  • Shoichi

    コメントおよびご指摘頂きありがとうございます。先週からの対応について詳細を本文に追記しましたのでご覧ください。