Googleのデスクトップ検索ツールに脆弱性、アップデートリリース

[IDG Japan]

　米ライス大学の研究者がGoogleのDesktop Searchに脆弱性を発見、これによってサードパーティーがユーザーの検索結果にアクセスできてしまい、個人的なファイルのコンテンツの一端が見えてしまう恐れがあると指摘している。

　この脆弱性は、ライス大学のコンピュータ科学教授、ダン・ワラチ氏と大学院生2人が発見、19日遅く、同大学Computer Security LabのWebサイトに掲載した。この問題について「深刻」と評価しており、このローカル検索エンジンによってGoogleの通常のWeb検索に組み込まれたファイルの一端を攻撃者に読まれてしまう可能性があるとしている。

　Googleはこの脆弱性について連絡を受け、アップデートで問題を修正、現在自動アップデート機能を使ってこれを配布中だと、同社は20日説明した。

　ライス大学の研究者によれば、Google Desktop Searchのタスクバーで「about」アイコンを選択すると、自分が使っているのがアップデートバージョンかどうかを確認できる。バージョン番号121004で、2004年12月10日以降の日付になっていれば安全だという。

　この問題は、攻撃者が特定のJavaアプレットを仕込んだWebサイトlにユーザーがアクセスした場合に影響を受ける。このアプレットが特定のネットワーク接続を確立し、Google Desktopを騙してユーザーのローカル検索結果とオンライン検索結果を統合する。ユーザーが不正サイトを訪れると、このアプレットがローカル検索結果のサマリーを読み取り、攻撃者のサーバに送信するという。

　Google Desktop検索のサマリーには、個人ファイルのコンテンツの一部が含まれることがあり、このコンテンツを攻撃者が読むことができてしまうと研究者は指摘している。