「IE+Gmail」の脆弱性、セキュリティ研究者が指摘
ネットカフェなどの端末でIEからGmailを使うと機密情報が漏れる恐れがあるとセキュリティ研究者が警告。Microsoftは「製品の脆弱性ではない」と反論している。
公共の端末からInternet Explorer(IE)を使ってGoogleのGmailにアクセスしている人は、ブラウザのキャッシュに大量の機密情報を残している可能性がある。Webアプリケーションセキュリティを専門とする企業Cenzicが警告している。
Cenzicは、「電子メールシステムとユーザーのプライバシーに深刻な影響を与える」可能性のあるGmailとIEの脆弱性と主張する問題について警告を発した。
しかしMicrosoftはこのリスクを軽視しており、「製品の脆弱性ではない」と主張している。
Cenzicの広報担当マンディープ・ヘラ氏によると、同社の研究者がCSRF(クロスサイトリクエストフォージェリ)とキャッシュ指令の不正利用を組み合わせて、IEキャッシュからGmailの証明書を乗っ取る方法を発見したという。
この問題はIEでGmailを使った場合に固有のものであり、CenzicはMicrosoftとGoogleの両方が顧客、特に図書館やネットカフェの端末を使っている顧客を守るためのフィックスを適用するべきだと考えている。
「徹底的な調査」の後、Microsoftはこの問題は誇張されていると判断した。「問題のシナリオでは、攻撃者がキャッシュ内のファイルを改変するために、システムへのアクセス認証を得なくてはならない。そのレベルでアクセスできれば、このシナリオで説明されている以上の影響を及ぼす不正なプログラムをインストールできるだろう」とMicrosoftの広報担当者はWEEKに語った。
Cenzicのヘラ氏は、ハッカーが攻撃を仕掛けるには、システムに物理的にアクセスしなければならないとしながらも、公共の端末を使っているエンドユーザーにクロスサイトスクリプティングのリスクをもたらすと主張する。
「Microsoftの姿勢は分かるが、だからといって脆弱性でないということではない。パッチを当てなければならない深刻な問題だ」とヘラ氏は取材に応えて語った。
パッチがないことから、ヘラ氏はユーザーに、ブラウザレベルでページキャッシュを無効にするよう勧めている。そうすれば、すべてのページがキャッシュされなくなる。この回避策で、ブラウジング体験に悪影響が出るかもしれないと同氏は注意を促す。
この問題に関する技術的な詳細はUS-CERT(U.S. Computer Emergency Response Team)に報告済みという。
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- セキュリティ担当者に求められる役割と責任に変化 その背景には何がある?
ITmediaはアイティメディア株式会社の登録商標です。