Google Readerにログイン妨害の脆弱性

US-CERTのアドバイザリーによると、GoogleのRSSリーダーにXSRFの脆弱性が存在し、悪用されるとサービスにログインできなくなる可能性がある。

» 2007年04月19日 08時15分 公開
[ITmedia]

 米Googleが試験提供しているRSSリーダーの「Google Reader」に脆弱性が存在し、悪用されるとサービスへのログインが妨害される可能性があるとして、US-CERTが4月18日、アドバイザリーを公開した。

 それによると、Google ReaderではRSSフィードでテキストと画像を表示することができるが、この機能に関してクロスサイトリクエストフォージェリ(XSRF)の脆弱性が存在する。

 Google Readerのログオフボタンにはハイパーリンクが使われることがあり、攻撃者が悪質なRSSフィードのイメージソースとしてログオフボタンを提示することにより、このリンクを実行できてしまう可能性がある。ユーザーが問題のRSSフィードをロードすると、Google Readerのアカウントにログインできなくなってしまう。

 この問題は、リモートで認証を受けない攻撃者が悪用し、Google Readerへのログインを妨害できる可能性がある。

 今のところ現実的な解決策は存在しないが、ブラウザでサードパーティーサイトから画像がロードされないようにすれば、問題を回避できる可能性があるとアドバイザリーでは解説している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ