GoogleのWebサイトでクロスサイトスクリプティングの脆弱性が9月末に発見された。現在では解消済み。
セキュリティソフトメーカーのFinjan Softwareは10月10日、GoogleのWebサイトに危険なクロスサイトスクリプティングの脆弱性を発見し、同社に通報したと発表した。
Finjanによれば、www.google.comのサブサイト2つで使われていたフォームが入力データの認証とフィルタを行っておらず、これを突かれるとリモートの攻撃者がコンテンツとスクリプトを仕掛けてユーザーのcookieを盗み出せる状態になっていた。
被害に遭ったユーザーがこの時点でGoogleアカウントにアクセスしていれば、攻撃者がこのcookieを通じてユーザーの個人情報や保存された検索結果、Froogleの買い物リスト、Googleアラートといったサービスにアクセスできてしまう可能性があった。また、偽コンテンツでユーザーをだまして不正コードをダウンロードさせたり、個人情報盗難に使われる恐れもあった。
Finjanでは9月末に、この脆弱性に関するコンセプト実証コードを含む詳しい情報をGoogleに提供。Googleでは迅速な対処を取り、現在では脆弱性は解消済みだという。
Copyright © ITmedia, Inc. All Rights Reserved.