ネットカフェなどの端末でIEからGmailを使うと機密情報が漏れる恐れがあるとセキュリティ研究者が警告。Microsoftは「製品の脆弱性ではない」と反論している。
公共の端末からInternet Explorer(IE)を使ってGoogleのGmailにアクセスしている人は、ブラウザのキャッシュに大量の機密情報を残している可能性がある。Webアプリケーションセキュリティを専門とする企業Cenzicが警告している。
Cenzicは、「電子メールシステムとユーザーのプライバシーに深刻な影響を与える」可能性のあるGmailとIEの脆弱性と主張する問題について警告を発した。
しかしMicrosoftはこのリスクを軽視しており、「製品の脆弱性ではない」と主張している。
Cenzicの広報担当マンディープ・ヘラ氏によると、同社の研究者がCSRF(クロスサイトリクエストフォージェリ)とキャッシュ指令の不正利用を組み合わせて、IEキャッシュからGmailの証明書を乗っ取る方法を発見したという。
この問題はIEでGmailを使った場合に固有のものであり、CenzicはMicrosoftとGoogleの両方が顧客、特に図書館やネットカフェの端末を使っている顧客を守るためのフィックスを適用するべきだと考えている。
「徹底的な調査」の後、Microsoftはこの問題は誇張されていると判断した。「問題のシナリオでは、攻撃者がキャッシュ内のファイルを改変するために、システムへのアクセス認証を得なくてはならない。そのレベルでアクセスできれば、このシナリオで説明されている以上の影響を及ぼす不正なプログラムをインストールできるだろう」とMicrosoftの広報担当者はWEEKに語った。
Cenzicのヘラ氏は、ハッカーが攻撃を仕掛けるには、システムに物理的にアクセスしなければならないとしながらも、公共の端末を使っているエンドユーザーにクロスサイトスクリプティングのリスクをもたらすと主張する。
「Microsoftの姿勢は分かるが、だからといって脆弱性でないということではない。パッチを当てなければならない深刻な問題だ」とヘラ氏は取材に応えて語った。
パッチがないことから、ヘラ氏はユーザーに、ブラウザレベルでページキャッシュを無効にするよう勧めている。そうすれば、すべてのページがキャッシュされなくなる。この回避策で、ブラウジング体験に悪影響が出るかもしれないと同氏は注意を促す。
この問題に関する技術的な詳細はUS-CERT(U.S. Computer Emergency Response Team)に報告済みという。
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.