Googleマップを表示するためにGoogle Maps APIを使用している場合は、[Security Alert]:Polyfill.io Issue for Google Maps Platform usersタイトルの最近の通知を受け取りました。
Google Maps APIを使用してGoogleマップをホームページに表示していて、上記のセキュリティ通知を受け取った場合は、問題のあるpolyfill.ioライブラリが使用されていないことを確認して対処する必要があります。
[Security Alert]: Polyfill.io Issue for Google Maps Platform users セキュリティ通知
Avadaが適用された WordPress サイトにGoogle Maps APIキーを入力してGoogleマップを表示するユーザーが上記のようなセキュリティ警告を受けた Naver カフェ経由でお知らせしました。
このセキュリティ通知は、すべてのGoogle Maps Platformユーザーに送信されたようです。前の部分の内容を引用すると、次のようになります。
We're writing to let you know that a security issue may be affecting websites using specific third-party libraries (including polyfill.io).
何が起こった
We have become aware of a security issue that may be affecting websites using specific third-party libraries (including polyfill.io). This issue can sometimes redirect visitors away from the intended website without website owner knowledge or permission, or potentially cause other malicious behavior. Many of the Maps JavaScript API samples in the Developer Documentation previously included a polyfill.io script declaration. We have removed this from those samples. If you have used the Maps JavaScript API samples that contain this declaration, we recommend removing the declaration.
特定のサードパーティライブラリ(polyfill.ioを含む)を使用しているWebサイトに影響を与える可能性があるセキュリティ問題についてお知らせします。問題の概要
私たちは、polyfill.ioを含む特定のサードパーティライブラリを使用するホームページに影響を与える可能性があるセキュリティ問題について学びました。サイトの所有者が知らない、または許可していない状況で、訪問者を意図したサイトから別の場所にリダイレクトしたり、他の悪意のある動作が発生する可能性があります。
以前は、Developer Documentation の Maps JavaScript API の多くの例に polyfill.io スクリプト宣言が含まれていました。我々はこれらの例から対応する宣言を取り除いた。この宣言を含むMaps JavaScript APIの例を使用している場合は、この宣言を削除することをお勧めします。
開発者ドキュメントのMaps JavaScript APIを使用した例にpolyfill.ioライブラリを使用する方法が含まれていますが、polyfill.ioライブラリにセキュリティの脆弱性が発見され、polyfill.ioライブラリが記載されている例が開発者ドキュメントから削除されたようです。
WordPress セキュリティプラグインで有名なWordfenceは、Polyfill.ioを使用するプラグインに対してセキュリティ警告を発行しました。
対応方法
Google Maps APIキーを使用してGoogleマップを WordPress サイトに表示する場合は、Polyfill.ioライブラリが使用されているかどうかを確認してください。可能であれば、このセキュリティ問題の影響を受けないことを確認するまで、Googleマップ機能を一時的に無効にすることを検討することができます。
Avada テーマなど、Google Maps APIキーを統合する機能を提供している場合は、テーマの販売者に連絡してください。プラグインを使用してGoogleマップを表示する場合は、そのプラグイン開発者に連絡して確認できます。
無料のGoogleマッププラグインで、現在40万を超える WordPress サイトにインストールされ使用されている WP Go Maps (旧名「WP Google Maps」)があります。このプラグインの開発者は、polyfillライブラリを使用していないため、この問題の影響を受けないとプラグインフォーラムを通じて回答しました。
I am happy to report that this issue does not affect our plugin as we do not include the compromised library. More specifically, we do not use the polyfill library or any cloud based polyfill alternatives that are known to be compromised.
ソース:https://wordpress.org/support/topic/google-maps-issue-polyfill-io/
問題となるライブラリが含まれていないため、私たちのプラグインはこの問題の影響を受けません。具体的には、私たちは、polyfillライブラリやセキュリティ上の問題があることが知られているクラウドベースのpolyfill代替要素を使用しません。
Avada, Enfold など、いくつかのテーマでもpolyfillライブラリが使用されていないことを売り手が言った。
最後に、
以上にGoogleの [Security Alert]: Polyfill.io Issue for Google Maps Platform users 通知について調べました。これらのセキュリティ通知を受け取った場合は、Googleマップを表示するホームページに問題があるpolyfill.ioライブラリが使用されていないか、テーマやプラグイン開発者に連絡してください。
GNUBOARD、XEなど他のCMS(コンテンツ管理システム)を使用する場合でもpolyfillライブラリが使用されているかチェックし、もし使用されている場合は別のライブラリに置き換えるとサイトが安全です。
セキュリティの脆弱性があるpolyfill.ioライブラリを使用すると、マルウェアに感染して別のサイトにリダイレクトされるなどの問題が発生する可能性があります。マルウェアに感染すると削除が容易ではなく時間と費用がかかる可能性があるため、安全であることが確認されるまでGoogleマッププラグインやテーマにGoogleマップを表示する機能を一時的に無効にすることが安全です。
事態に備えてサイト全体 バックアップを定期的にしてPCやクラウドストレージなどに保存することも考えてみましょう。
コメントを残す