Google、ユーザー情報流出につながるサイトの脆弱性を修正

GoogleのWebサイトでクロスサイトスクリプティングの脆弱性が9月末に発見された。現在では解消済み。

[ITmedia]

　セキュリティソフトメーカーのFinjan Softwareは10月10日、GoogleのWebサイトに危険なクロスサイトスクリプティングの脆弱性を発見し、同社に通報したと発表した。

　Finjanによれば、www.google.comのサブサイト2つで使われていたフォームが入力データの認証とフィルタを行っておらず、これを突かれるとリモートの攻撃者がコンテンツとスクリプトを仕掛けてユーザーのcookieを盗み出せる状態になっていた。

　被害に遭ったユーザーがこの時点でGoogleアカウントにアクセスしていれば、攻撃者がこのcookieを通じてユーザーの個人情報や保存された検索結果、Froogleの買い物リスト、Googleアラートといったサービスにアクセスできてしまう可能性があった。また、偽コンテンツでユーザーをだまして不正コードをダウンロードさせたり、個人情報盗難に使われる恐れもあった。

　Finjanでは9月末に、この脆弱性に関するコンセプト実証コードを含む詳しい情報をGoogleに提供。Googleでは迅速な対処を取り、現在では脆弱性は解消済みだという。